- Proposal Web Environment Integrity (WEI) dari Google dapat melemahkan hak pengguna untuk mengendalikan apa yang dikatakan komputernya sendiri, dengan membuat Chrome mengirim informasi yang tahan manipulasi tentang status sistem operasi dan perangkat lunak ke situs web
- WEI adalah remote attestation melalui TPM atau secure enclave, sehingga situs web memverifikasi browser dan konfigurasi perangkat lewat bukti kriptografis alih-alih berdasarkan apa yang dinyatakan pengguna
- Alasannya disebut untuk mengurangi penipuan iklan, serangan man-in-the-middle, kecurangan game, akun bot, dan ulasan palsu, tetapi manfaat nyatanya kemungkinan besar terutama akan mengalir ke operator layanan komersial
- Situs web dapat menggunakan WEI untuk memblokir browser atau sistem operasi yang tidak mereka sukai, dan usulan mitigasi Google berupa “tidak mengirim WEI ke sebagian kecil pengguna Chrome” saja sulit mencegah pengecualian
- Alat remote attestation itu sendiri tidak perlu dilarang, tetapi tidak seharusnya dimasukkan ke web terbuka, dan pengguna harus dapat memutuskan sendiri apa yang akan dikatakan tentang komputer dan perangkat lunaknya
Hubungan antara browser dan situs web yang ingin diubah Google WEI
- Google ingin menambahkan kode ke Chrome yang mengirimkan status sistem operasi dan perangkat lunak pengguna ke situs web sebagai informasi yang tahan manipulasi
- Berbeda dari penjelasan bahwa ini untuk mengurangi penipuan iklan, fitur ini dapat mengurangi kemampuan pengguna untuk mengendalikan komputernya sendiri
- Pengguna yang tidak memakai sistem operasi dan browser yang disetujui juga bisa diblokir dari sebagian situs web
- Dokumen penjelasan tidak resmi yang ditulis karyawan Google mengakui bahwa Web Environment Integrity (WEI) dapat menaikkan hambatan masuk bagi browser baru
Informasi yang dikirim browser ke situs web
- Saat terhubung ke server, browser web otomatis mengirim informasi tentang perangkat dan browser
- Contoh: informasi seperti “menggunakan Chrome 116.0.5845.61 di Google Pixel 4”
- Server juga dapat meminta informasi yang lebih rinci seperti font terpasang dan ukuran layar
- Informasi ini digunakan agar situs web dapat menyediakan format file, resolusi, dan tata letak yang sesuai dengan perangkat pengguna
- Informasi yang sama juga digunakan untuk browser fingerprinting
- Pengguna yang menolak cookie atau pelacakan lain bisa diidentifikasi dari kombinasi karakteristik browser
- Sebagian situs dapat menetapkan harga berbeda atau menawarkan proposal yang buruk atau menipu berdasarkan informasi browser dan perangkat
Mengapa pengguna harus bisa mengirim informasi palsu atau acak
- Saat ini, informasi yang dikirim browser ke situs web pada dasarnya bersifat sukarela
- Pengguna dapat mengirim informasi yang mereka inginkan ke situs yang tidak mereka percayai melalui plugin, alat privasi, atau pengaturan lanjutan
- Sekadar tidak mengirim informasi mungkin tidak cukup
- Karena layanan bisa mewajibkan informasi perangkat dan menolak pengguna yang tidak memberikannya
- Alat privasi dan anti-pelacakan dapat sebagai gantinya mengirim informasi perangkat yang masuk akal tetapi salah
- Ini adalah cara agar layanan tidak bisa mendiskriminasi pilihan privasi pengguna
Cara kerja remote attestation dan secure computing
- Sebagian besar komputer, tablet, dan ponsel modern memiliki semacam fitur secure computing
- Secure computing awal menggunakan prosesor terpisah bernama Trusted Platform Module (TPM), dan banyak perangkat memakai subsistem yang diperkuat bernama secure enclave
- Sistem seperti ini dapat memantau setiap tahap proses boot untuk memastikan kode yang dijalankan adalah kode asli yang disediakan pabrikan tanpa perubahan
- Proses yang sama juga dapat dipakai untuk mencegah pengguna sengaja menjalankan kode lain
- Misalnya: sistem operasi bebas dan sumber terbuka
- Misalnya: perangkat lunak yang diubah untuk menonaktifkan fitur pengawasan atau mengizinkan pemasangan perangkat lunak di luar app store pabrikan
- TPM dan secure enclave berisi kunci tanda tangan kriptografis
- Dapat mengumpulkan informasi kode tingkat rendah seperti versi sistem operasi, ekstensi, perangkat lunak, dan bootloader
- Dapat menyediakan informasi ini sebagai attestation yang ditandatangani secara kriptografis
- Server jarak jauh, alih-alih mempercayai apa yang dikatakan browser pengguna, dapat meminta bukti kriptografis dari perangkat
Risiko hukum dari bypass dan riset
- Jika pengguna tidak dapat membypass keamanan secure enclave atau TPM, attestation menjadi indikator konfigurasi perangkat yang sangat dapat dipercaya
- Memodifikasi TPM atau secure enclave dapat berisiko secara hukum
- DMCA Section 1201, paten, dan hak cipta dapat menciptakan risiko perdata maupun pidana bagi teknisi yang meneliti teknologi seperti ini
- Risiko menjadi lebih besar jika seseorang mempublikasikan cara menonaktifkan atau membypass fitur keamanan
- Jika mendistribusikan alat bypass, seseorang mungkin harus menanggung risiko pidana dan perdata yang serius, termasuk hukuman penjara bertahun-tahun
Remote attestation untuk web yang diusulkan WEI
- WEI adalah proposal teknis yang memungkinkan server meminta remote attestation dari perangkat
- Permintaan diteruskan ke secure enclave atau TPM perangkat, lalu perangkat merespons dengan deskripsi perangkat berkepercayaan tinggi yang ditandatangani secara kriptografis
- Pengguna tetap bisa memilih untuk tidak mengirim informasi ini ke server jarak jauh
- Tetapi mereka kehilangan kemampuan untuk mengirim informasi yang diubah atau acak tentang perangkat dan perangkat lunaknya saat merasa itu perlu
Kasus penggunaan yang diajukan Google dan keterbatasannya
- Insinyur Google menilai WEI dapat mengurangi berbagai masalah
- Membedakan apakah browser dioperasikan langsung oleh pengguna nyata atau dimanipulasi otomatis oleh bot
- Mengurangi penipuan iklan sehingga meningkatkan pendapatan publisher dan diharapkan mendorong produksi konten yang lebih baik
- Mencegah serangan man-in-the-middle yang bahkan mencegat kata sandi sekali pakai autentikasi dua faktor lalu memasukkannya ke login layanan yang sebenarnya
- Memastikan lawan dalam game menjalankan game yang tidak dimodifikasi dan tidak memakai cheat
- Mendeteksi dan memblokir alat otomasi browser untuk mencegah penipuan seperti ulasan palsu atau pembuatan massal akun bot
- Beberapa kasus penggunaan ini mungkin punya dasar yang masuk akal
- Tetapi dalam masalah keamanan, pelanggaran privasi dan pengikisan otonomi individu sering kali datang untuk sedikit mengurangi sebagian masalah yang nyata
- Jika semua pelanggan yang masuk toko diborgol, pencurian mungkin berkurang, tetapi pencurian adalah masalah toko, bukan masalah yang biayanya harus ditanggung semua pelanggan
WEI bisa dipakai untuk memblokir browser dan sistem operasi
- Satu bagian dalam dokumen Google mengakui bahwa situs web dapat memakai WEI untuk memblokir browser dan sistem operasi yang tidak mereka sukai
- Sebagai mitigasi, Google mengatakan mereka mempertimbangkan agar setelah Chrome menerapkan WEI, pada “sebagian kecil” komputer yang sebenarnya bisa mengirim informasi WEI, informasi itu tetap tidak dikirim
- Secara teori, situs yang memblokir browser tanpa WEI juga akan memblokir minoritas pengguna Chrome ini, dan keluhan pengguna bisa membuat kebijakan itu dibatalkan
- Namun banyak situs web mungkin memang ingin memaksa browser dan sistem operasi tertentu
- Di masa lalu ada contoh seperti “situs web ini bekerja paling baik di Internet Explorer 6.0 pada Windows XP”
- Sebagian situs web mungkin menerima biaya kehilangan pengguna “sebagian kecil” itu
- Mereka juga dapat mengarahkan pengguna untuk menghapus data browser dan mencoba lagi sampai WEI aktif untuk situs tersebut
Konflik kepentingan Google
- Google memiliki konflik kepentingan dalam menentukan seberapa besar “sebagian kecil” itu
- Jika persentasenya dibuat sangat kecil, lebih banyak klik iklan dapat diautentikasi, yang menguntungkan divisi anti-penipuan iklan Google
- Jika klik iklan terautentikasi bertambah, Google dapat menjual iklan dengan harga lebih tinggi
- Jika persentasenya dibuat lebih tinggi, akan lebih sulit bagi situs web untuk menerapkan perilaku eksklusif
- Tetapi persentase yang tinggi tidak memberi keuntungan langsung bagi Google dan justru mempermudah pembuatan browser pesaing
- Bahkan jika mitigasi ini diterapkan, insentif Google mengarah pada penetapan persentase yang terlalu kecil untuk melindungi web terbuka
Prinsip bahwa pengguna adalah pemilik komputernya sendiri
- Komputer adalah milik pengguna dan harus bekerja sesuai instruksi pengguna
- Hukum yang menghalangi reverse engineering dan rekonstruksi komputer juga bermasalah, tetapi risikonya lebih besar ketika segelintir situs web besar menguasai titik sempit internet
- Sejumlah kecil perusahaan membentuk gerbang antara pembeli dan penjual, penampil dan penonton, pekerja dan pemberi kerja, keluarga dan komunitas
- Jika perusahaan-perusahaan ini menolak transaksi, kehidupan digital pengguna bisa terhenti
- Web adalah platform terbuka besar terakhir yang tersisa di internet
- Siapa pun dapat membuat browser atau situs web dan berpartisipasi tanpa harus meminta izin atau memenuhi spesifikasi pihak lain
- Bahkan jika situs web mendirikan pos pemeriksaan virtual bertuliskan “hanya teknologi yang disetujui yang boleh lewat”, pengguna tetap harus memiliki hak untuk mengatakan jawaban yang ingin didengar situs tersebut
Niat WEI dan penyalahgunaan yang dapat diperkirakan
- Para pengusul WEI menyatakan bahwa mereka ingin WEI hanya dipakai untuk tujuan yang baik
- Mereka juga secara eksplisit mengkritik penggunaan WEI untuk memblokir browser atau menyingkirkan pengguna yang berusaha menjaga privasi
- Namun ilmuwan komputer tidak bisa menentukan bagaimana teknologi akan benar-benar digunakan
- Jika attestation ditambahkan ke web, cukup dapat diperkirakan bahwa perusahaan akan memakainya untuk menyerang hak pengguna atas konfigurasi perangkat mereka
- Risiko ini khususnya besar ketika kebutuhan pengguna bertentangan dengan prioritas komersial perusahaan teknologi
- WEI seharusnya tidak dibuat, dan sekalipun dibuat, seharusnya tidak digunakan
Bagaimana teknologi remote attestation seharusnya diperlakukan
- Remote attestation itu sendiri tidak boleh dilarang
- Kode adalah ekspresi, dan setiap orang harus bebas meneliti, memahami, dan membuat alat remote attestation
- Alat remote attestation bisa punya kegunaan di dalam sistem terdistribusi
- Pabrikan mesin pemungutan suara dapat memakainya untuk memverifikasi konfigurasi perangkat di lapangan
- Aktivis HAM yang berada dalam risiko dapat mengirim remote attestation kepada teknisi tepercaya untuk membantu menilai apakah perangkat mereka terinfeksi malware yang didukung negara
- Namun alat seperti ini tidak boleh ditambahkan ke web
- Remote attestation tidak cocok untuk platform terbuka
- Pengguna harus memiliki hak keputusan akhir tentang apa yang akan mereka katakan kepada orang lain mengenai komputer dan perangkat lunaknya sendiri
Otonomi pengguna lebih penting daripada masalah perusahaan
- Sulitnya perusahaan yang pendapatannya terdampak penipuan iklan, perusahaan game yang melawan cheater, atau layanan yang menghadapi masalah bot memang dapat dipahami
- Tetapi menyelesaikan masalah seperti ini tidak boleh didahulukan di atas hak pengguna teknologi
- Pengguna berhak memilih bagaimana komputernya bekerja, dan apa yang dikatakan komputer itu kepada orang lain
- Hak untuk mengendalikan perangkat sendiri adalah elemen dasar dari seluruh hak kewargaan di dunia digital
- Web terbuka memberi lebih banyak manfaat daripada mudarat
- Jika perusahaan raksasa dan monopolistis dibiarkan membalikkan pilihan teknologi pengguna, masalah perusahaan mungkin terselesaikan, tetapi masalah pengguna tidak
1 komentar
Komentar Hacker News
Pengalaman nyata saya bekerja sebagai insinyur keamanan mungkin membantu memahami mengapa ini akan berakhir ke arah yang buruk
Bank adalah organisasi yang sangat sensitif soal keamanan karena biaya peretasan bisa sangat besar dan regulasi menuntut mereka membuat sistem “seaman mungkin”
Bank tidak akan mengadopsi WEI karena mereka membenci web terbuka atau pengguna Linux, melainkan karena jika tidak mengadopsinya, akan muncul masalah tanggung jawab bahwa mereka “tidak melakukan semua yang bisa dilakukan demi keamanan”, yang bisa berujung pada gugatan, sanksi regulasi, dan kenaikan premi asuransi
Saat ini WEI belum ada, jadi belum menjadi persyaratan, tetapi begitu ada, kemungkinan besar akan menjadi praktik standar, dan orang yang menentangnya bisa terlihat tidak realistis seperti orang yang menentang CCTV karena dianggap melanggar privasi
Tak lama lagi CDN seperti Cloudflare akan menawarkannya dengan satu kotak centang, dan pemilik situs akan sulit mematikannya karena tanggung jawab fidusia
Sampai 2 tahun lalu kami memakai IE7, sebagian besar pekerjaan masih dilakukan dengan saling mengirim file Excel lewat email, dan fakta bahwa email yang diterima memiliki lampiran Excel diperlakukan seperti bukti validitas
Kami juga mengoperasikan relay SMTP tanpa autentikasi, dan sambil mengabaikan keamanan yang sebenarnya, kami mewajibkan Windows di laptop kerja
Alasannya adalah agar bisa menjalankan skrip PowerShell RAT favorit yang membongkar semua jar di sistem secara rekursif untuk mencari log4shell, dan itu masih dilakukan sampai sekarang
Orang-orang yang membuat aturan dan praktik seperti ini juga menjalankan sistem inti kliring pembayaran bank sentral Denmark
Bank bukan aman, melainkan konservatif dan politis; mereka menyulitkan orang untuk mempertahankan teater keamanan, tetapi kenyataannya lebih seperti kulit luar saja
WEI jelas akan mereka adopsi, tetapi tidak akan membawa keamanan
Namun bank memang punya rekam jejak cukup baik dalam melindungi uang orang, dan itu berkat pertahanan berlapis di mana transaksi mencurigakan ditinjau secara manual oleh petugas kepatuhan
Banyak institusi besar masih hanya mendukung autentikasi dua faktor via SMS, dan itu pun baru belum lama diwajibkan
Jadi meskipun teknologi ini menyebar, akun bank kemungkinan besar bukan yang pertama diwajibkan memakainya, melainkan hampir yang terakhir
Kartu kredit yang sangat tidak aman juga berada dalam konteks serupa
Bukan karena mereka tidak peduli, melainkan karena mereka melihat langkah teknis sebagai bagian kecil dari strategi keamanan keseluruhan, dan akses online juga sebagai bagian kecil dari bisnis serta pada dasarnya tidak dapat dipercaya
Sebagian besar web mempercayai pengguna yang sudah diautentikasi, tetapi bank pada umumnya tidak mempercayai bahkan pengguna yang sudah diautentikasi dan memandang setiap tindakan sebagai potensi risiko, sehingga prioritas untuk memperkuat autentikasi itu sendiri relatif rendah
Sekalipun ada antarmuka web, untuk login tetap dibutuhkan aplikasi mobile
Namun saya kurang yakin dengan bagian bahwa para penentangnya akan “terlihat tidak realistis dan tidak akan bertahan lama di posisi itu”
Orang yang menentang pengawasan universal tidak terlihat tidak realistis bagi mayoritas, dan mereka juga tidak mengubah sikapnya
Paragraf singkat yang mengatakan bahwa segelintir perusahaan telah menguasai titik leher botol antara pembeli dan penjual, performer dan audiens, pekerja dan pemberi kerja, keluarga dan komunitas, dan jika mereka menolak transaksi maka kehidupan digital berhenti, merangkum dengan baik situasi aneh yang kita masuki
Pemangku kepentingan yang terdampak negatif pada dasarnya hampir seluruh masyarakat, dan para gatekeeper seperti ini memiliki sekutu alami seperti politisi yang tertangkap kepentingan, pihak yang bergantung pada gaji, dan pasar yang mengabaikan eksternalitas
Namun tetap saja aneh bahwa mereka bisa membuat seluruh masyarakat, yang memiliki sumber daya finansial, politik, dan intelektual yang hampir tak terbatas, tunduk
Ini sampai terlihat seolah-olah pengendalian pikiran berskala sistem sudah bekerja
Menurut saya, bukan seluruh masyarakat sedang diperas, melainkan kebanyakan orang memang tidak peduli
Itu bukan hal segila itu, dan bukan pengendalian pikiran, melainkan ketidakpedulian dan ketidaktahuan lama
Secara umum saya setuju, tetapi ada satu hal yang perlu dikoreksi: TPM bukan singkatan dari Technical Protection Module, melainkan Trusted Platform Module
Tidak separah FSF, tetapi mereka cenderung menyelipkan komentar, dan dalam kasus ini terdengar seperti ada yang mencoba menyindir
Namun ini tampaknya kesalahan soal TPM, atau upaya memperkenalkan kepanjangan alternatif seperti akronim-akronim lain
Jika mencoba berperan sebagai devil’s advocate, teknologi ini sudah ada, dan persoalannya adalah apakah browser melakukan pembuktian klien, atau berpura-pura tidak ada pembuktian jarak jauh
Jika ditolak, layanan yang membutuhkan “klien tepercaya” bisa saja membuang web app dan bergantung pada aplikasi iOS/Android
Saya tidak bermaksud membela WEI, tetapi masalah ini tidak akan hilang secara ajaib hanya karena Google tidak mengimplementasikannya di Chrome; ia hanya akan berpindah ke tempat lain
Pertarungan yang sebenarnya adalah saat TPM diimplementasikan sejak awal
Mirip seperti hanya Microsoft yang punya otoritas atas kunci Secure Boot
Perangkat seluler sudah punya banyak kemampuan pembuktian, seperti secure enclave, secure processor, dan fungsi kriptografi pada kartu SIM
Kita tidak membutuhkan teknologi yang pasti akan disalahgunakan untuk mengecualikan orang-orang yang paham teknologi dari internet sehari-hari berdasarkan aturan sewenang-wenang
Tidak ada checks and balances, dan ini adalah paket kewenangan yang sangat luas yang dipaksakan kepada pengguna
Ini bukan proposal atau eksperimen, melainkan upaya push paksa
Dokumen itu menjelaskan dengan baik mengapa web berbeda dari aplikasi mobile/native, dan mengapa API seperti pembuktian klien, meski mungkin di lingkungan mobile, akan berbahaya jika diimplementasikan di platform web
Misalnya, proposal WEI melanggar prinsip “mengunjungi halaman web harus aman” (https://www.w3.org/TR/design-principles/#safe-to-browse)
Fitur baru harus dirancang untuk mempertahankan ekspektasi pengguna bahwa mengunjungi halaman web pada umumnya aman
Agar web tetap hidup, pengguna harus bisa berharap bahwa sekadar mengunjungi tautan tidak memengaruhi aspek mendasar keamanan komputer atau privasi mereka
Misalnya, API yang memungkinkan situs web mana pun mendeteksi apakah seseorang menggunakan teknologi bantu dapat membuat pengguna teknologi tersebut merasa bahwa mengunjungi halaman yang tidak mereka kenal menjadi berisiko
Jika ekspektasi keamanan semacam ini realistis, pengguna dapat membuat informed decision antara teknologi berbasis web dan teknologi lain
Menginstal aplikasi native lebih berisiko daripada mengunjungi halaman web, sehingga pengguna bisa memilih halaman pemesanan makanan berbasis web alih-alih memasang aplikasi
Di antara pengguna yang tidak terlalu teknis tetapi berhati-hati, banyak yang sama sekali menolak memasang aplikasi mobile kecuali dari sumber yang paling mereka percayai, dan prinsip ini memberi kerangka yang baik untuk menilai mengapa pengguna masih lebih menyukai web
Venmo dulu punya web app penuh, tetapi sekarang di web Anda tidak bisa mengirim atau menerima uang
Banyak fitur Chase juga hanya untuk ponsel
Dan banyak dari aplikasi semacam ini memblokir iPhone yang di-jailbreak atau Android yang di-root jika dapat mendeteksinya
Jika bank menuntutnya, akses saya tinggal diblokir
Tidak ada daemon pembuktian, dan kalaupun ada, bank tidak akan memercayainya
Bahkan jika Firefox menambahkannya, di komputer saya tetap tidak akan berfungsi
Orang-orang hanya membicarakan browser, tetapi saya ingin tetap memakai sistem operasi yang tidak berisi adware dan spyware bawaan
Komputer yang saya miliki berada di bawah kendali saya, dan kemampuan pembuktian jarak jauh justru dimaksudkan untuk mencegah kendali itu
Inilah masalah mendasarnya
Jika bank atau perusahaan sekuritas mengimplementasikannya, saya harus membeli komputer baru khusus, atau melakukan urusan perbankan hanya lewat telepon atau tatap muka
Itu pemborosan besar dan tidak membantu keamanan, tetapi begitu ada, ini akan masuk ke checklist yang diikuti bank
Tujuan di sini bukan memperluas ruang penggunaan pembuktian klien, melainkan mempersempitnya
Setiap pengurangan sekecil apa pun adalah kemenangan; keluarkan dulu dari browser, lalu tangani pembuktian native di aplikasi
Argumen “kalau ditolak, layanan akan pindah ke aplikasi native” juga persis muncul pada masa EME
Sekarang kita bisa meninjau dampak EME: ia tidak mencegah perpindahan ke aplikasi native, perusahaan seperti Netflix tetap mempertahankan sebagian besar pembatasan yang memang akan mereka lakukan sambil mengimplementasikan EME, dan keberagaman browser dirugikan
Mengatakan “kami tidak akan melakukannya” di web mungkin terdengar menakutkan, tetapi kita sudah mengalami bahwa tunduk pada taktik menakut-nakuti pun tidak efektif
Situs yang ingin pindah ke native akan tetap pindah, dan satu WEI tidak akan menjadi pembenaran bisnis untuk tetap di web atau pergi dari web
Pihak yang ingin menjadi native-only tidak akan tiba-tiba membuat situs web hanya karena WEI ada; mereka hanya akan menambahkan WEI ke kotak alat untuk membatasi otonomi pengguna sambil melakukan apa yang sejak awal ingin mereka lakukan
Memaksa perusahaan yang ingin bergantung pada pembuktian klien untuk melepaskan keberadaan mereka di web adalah hal yang baik, dan kekuatan web diremehkan
Tidak mendukung WEI tidak akan membunuh web
Merekomendasikan tulisan EFF juga baik, tetapi Anda juga bisa langsung berdonasi untuk membantu kampanye seperti ini
Mereka juga membuat merchandise yang keren: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Saya tidak mengerti mengapa kita harus peduli pada upaya mengurangi penipuan iklan Google dan membantu bisnis iklan mereka
Ini masalah Google, dan tidak ada alasan saya harus terlibat dalam pengiriman informasi komputer pribadi saya kepada pihak ketiga agar Google bisa menghasilkan lebih banyak uang
WEI sedikit mirip dengan jaringan telepon lama yang melarang individu memiliki telepon sendiri dan menghubungkannya ke jaringan
Pada akhirnya pemerintah menyatakan hal itu ilegal
Salah satu tulisan paling rinci dan berimbang yang pernah saya baca tentang topik ini sejauh ini
Namun, seperti tulisan-tulisan lain, ada satu penjelasan yang sangat penting tentang Web Environment Integrity yang terlewat
Ini bukan bagian dari web
Ini sepenuhnya draf Google untuk fitur Google Chrome, dan meskipun Google adalah anggota W3C, ini bukan sesuatu yang dilakukan dalam kapasitas keanggotaannya
Menurut saya, usulan seperti ini sulit bahkan untuk sampai ke piagam working group karena terlalu terbatas pada kepentingan Google
Satu-satunya alasan ini menjadi ancaman bagi web adalah dominasi pasar Google yang sudah mendekati monopoli
Saya khawatir penggunaan mencolok istilah “Web” dalam dokumen semacam ini akan mencoreng reputasi W3C, yang memiliki prosedur kuat[1] untuk menghindari kepentingan jangka pendek yang berisiko merusak keterbukaan web dalam jangka panjang
[1]: https://www.w3.org/Consortium/Process/
Penjelasan yang sangat bagus. Saya ingin lebih sering melihat penjelasan seperti ini
Sepertinya orang-orang memahaminya sebagai pemeriksaan pemblokir iklan, padahal proposal aslinya menyatakan bahwa ekstensi browser sama sekali tidak terkait dengan WEI
WEI memanggil sistem operasi yang ada dan API attestation berbasis TPM, lalu menyediakan status attestation itu kepada situs
Ini masih terlihat mirip dengan para penentang enkripsi yang berkata “pikirkan anak-anak”
Saya masih belum melihat penjelasan tentang bagaimana WEI secara ajaib akan mengubah perilaku operator situs web
Operator sudah bisa memblokir klien yang tidak mereka inginkan, tetapi mereka belum melakukannya sampai benar-benar menghambat “internet terbuka”
Jika Apple tidak mengimplementasikannya, WEI tidak ada artinya, dan satu-satunya dampak diskusi saat ini terhadap Apple mungkin hanyalah bagaimana mereka mengemas pilihan itu secara publik
Karena untuk saat ini saya masih bisa membuat komputer saya mengatakan apa yang saya perintahkan, saya membuat sebuah ekstensi Firefox kecil yang menentukan apa yang akan dikatakan
Kekanak-kanakan dan sepele, tetapi kadang rasanya menyenangkan menjalankan hak sendiri
[1] https://github.com/rogual/wei-gfy