2 poin oleh GN⁺ 2023-07-25 | 1 komentar | Bagikan ke WhatsApp
  • Web Environment Integrity API yang ditulis oleh 4 karyawan Google adalah usulan agar situs web dapat memverifikasi apakah lingkungan eksekusi browser pengunjung dapat dipercaya, dan prototipe untuk pengujian di Chrome juga sedang berjalan
  • Kegunaan utamanya adalah attestasi lingkungan untuk menyaring bot dan lingkungan yang dimodifikasi, serta dapat digunakan untuk penghitungan tayangan iklan, pemblokiran bot di jejaring sosial, perlindungan kekayaan intelektual, pencegahan kecurangan di game web, dan keamanan transaksi keuangan
  • Usulan ini terinspirasi dari Apple App Attest dan Android Play Integrity API, dan Ars Technica melihatnya sebagai alur di mana struktur pemblokiran akses aplikasi pada perangkat yang di-root dipindahkan ke web
  • Jika server web meminta attestasi sebelum menyajikan konten, browser akan menjalani pengujian di server attestasi pihak ketiga, lalu menerima IntegrityToken bertanda tangan untuk dikirimkan
  • Dokumen tersebut menyatakan tidak bertujuan untuk pelacakan sidik jari, mengganggu ekstensi, atau menyingkirkan vendor lain, tetapi penolakan keras menyebar lewat issue GitHub, Hacker News, dan Louis Rossmann

Apa yang ingin dilakukan Web Environment Integrity API

  • Usulan Web Environment Integrity API adalah usulan standar web yang bertujuan agar situs web dapat memverifikasi apakah lingkungan klien pengguna dapat dipercaya
  • explainer ditulis oleh 4 karyawan Google, dan setidaknya 1 di antaranya berasal dari tim Privacy Sandbox milik Chrome
  • Premisnya adalah situs web harus dapat mempercayai lingkungan pengguna agar bisa melindungi data pengguna dan kekayaan intelektual, serta menilai apakah benar digunakan oleh manusia
  • Kasus penggunaan utamanya adalah sebagai berikut
    • meningkatkan akurasi penghitungan tayangan iklan bagi pengiklan
    • memblokir bot di jejaring sosial
    • penegakan hak kekayaan intelektual
    • pencegahan kecurangan di game web
    • penguatan keamanan transaksi keuangan

Kekhawatiran saat Play Integrity berpindah ke web

  • Dokumen usulan menyebut bahwa ide ini terinspirasi dari sinyal attestasi native yang sudah ada seperti App Attest milik Apple dan Play Integrity API milik Android
  • Play Integrity sebelumnya adalah SafetyNet, yaitu API Android yang memungkinkan aplikasi memeriksa apakah perangkat sudah di-root
  • Rooting adalah cara pengguna memperoleh kendali penuh atas perangkat yang mereka beli, tetapi jika perangkat yang sudah di-root ditandai oleh Android Integrity API, beberapa aplikasi bisa menolak berjalan
    • akses ke aplikasi perbankan, Google Wallet, game online, Snapchat, dan beberapa aplikasi media seperti Netflix bisa diblokir
    • akses root dapat digunakan untuk kecurangan game atau phishing data perbankan, tetapi juga dipakai untuk kustomisasi perangkat, menghapus aplikasi bawaan, dan menyiapkan sistem cadangan
  • Kritik Ars Technica berfokus pada fakta bahwa Google tampaknya ingin membawa struktur kontrol akses semacam ini ke web juga

Alur attestasi yang diusulkan

  • Dalam transaksi halaman web, server web dapat meminta pengguna untuk lulus pengujian environment attestation sebelum data diberikan
  • Pada saat itu browser akan terhubung ke server attestasi pihak ketiga dan menjalankan suatu bentuk pengujian
  • Jika lulus, browser akan menerima IntegrityToken bertanda tangan yang menyatakan bahwa lingkungan tidak dimodifikasi dan merujuk pada konten yang hendak dibuka
  • Pengguna kemudian mengirimkan token ini kembali ke server web, dan jika server web mempercayai perusahaan attestasi tersebut, akses ke konten akan dibuka
  • Strukturnya sendiri tampak seperti API pada umumnya, tetapi di web nyata tetap ada kekhawatiran bahwa situs webnya bisa Google, browser-nya Chrome, dan server attestasinya juga Google

Bagian yang coba dibatasi dokumen dan kontroversi yang tersisa

  • Para penulis usulan berpendapat API ini tidak boleh digunakan untuk pelacakan sidik jari yang mengidentifikasi orang secara unik
  • Pada saat yang sama mereka menyatakan tetap diperlukan semacam indikator yang bisa menerapkan pembatasan laju pada perangkat fisik
  • Bagian “non-goals” menuliskan bahwa API ini tidak dimaksudkan untuk mengganggu fitur browser, termasuk plugin dan ekstensi
  • Ars Technica menafsirkan ini sebagai ungkapan halus bahwa mereka tidak akan mematikan pemblokir iklan
    • tujuan usulan ini mencakup dukungan iklan yang lebih baik
    • Chrome sudah memiliki rencana Manifest V3 yang mengubah cara kerja API ekstensi dan menurunkan kemampuan memodifikasi konten halaman web
  • Usulan ini juga menjadikan tidak mengecualikan vendor lain sebagai salah satu tujuannya

Penolakan publik dan prototipe Chrome

  • Google tidak banyak mempromosikan ide ini secara terbuka, dan dokumennya juga diunggah bukan ke repositori resmi Google melainkan ke akun GitHub pribadi karyawan
  • Usulan paling awal yang bisa diverifikasi berasal dari April 2022
  • Setelah spesifikasi yang diperbarui dipublikasikan pada akhir pekan, topik ini menyebar melalui Hacker News dan YouTuber perbaikan perangkat Louis Rossmann
  • Penolakan keras terus bermunculan di issue GitHub
    • Issue #134 mengkritik ide ini sebagai “sepenuhnya tidak etis dan bertentangan dengan web terbuka”
    • Issue #113 merespons dengan “Saya bahkan tidak percaya ini sempat diusulkan”
    • Issue #127 menulis “Apakah kalian pernah berpikir bahwa kalian adalah penjahatnya?”
  • API ini masih pada tahap proposal, tetapi pada Mei 2023 Google memposting intent to prototype ke Chromium blink-dev dan sedang menjalankan implementasi pengujian di dalam Chrome
  • Halaman pelacakan pengembangan fitur tersedia di chromestatus.com

1 komentar

 
GN⁺ 2023-07-25
Opini Hacker News
  • Jika Google melakukan hal yang dibenci semua pengguna dan tak ada yang bisa menghentikannya, ini menjadi titik ketika pemecahan perusahaan terdengar cukup meyakinkan
    Google tampaknya sudah memiliki kekuatan pasar yang terlalu besar

    • Sebenarnya, sama sekali tidak terlihat bahwa semua pengguna membencinya. Cukup banyak orang di sekitar saya yang paham teknologi, bahkan beberapa pengembang perangkat lunak, memakai Chrome dan tidak terlalu peduli apa pun yang dilakukan Google
      Kalau menyebut “manifest v3”, mereka menatap kosong; bahkan saat membahas iklan atau pemblokir iklan, kebanyakan tidak tertarik, dan ada juga yang sama sekali tidak memakai pemblokir iklan
      Tempat seperti HN benar-benar berada di dalam gelembung. Kebanyakan orang melihat privasi sebagai sesuatu yang abstrak yang hampir tidak bisa mereka kendalikan, dan pada umumnya menerimanya
      Ada juga orang yang menerima ketika pemerintah melemahkan privasi dengan alasan seperti “kita harus melindungi anak-anak”, atau ketika perusahaan melemahkan privasi dengan alasan bahwa kita mendapatkan layanan gratis sebagai imbalan atas data pribadi
      Ini kenyataan yang menyedihkan. Kalau orang benar-benar sangat peduli pada masalah seperti ini, akan sulit memahami mengapa perubahannya begitu sedikit; tetapi melihat Firefox, alternatif yang memadai, pun hampir tidak dipakai, ini bukan hal yang mengejutkan. Kebanyakan orang tidak peduli
    • Melakukan hal yang tidak disukai pelanggan adalah cara kerja dasar sebagian besar perusahaan teknologi, dan hampir tidak ada cara untuk meresponsnya
      Misalnya, jika Apple membuat perubahan perangkat keras yang merugikan pengguna, produsen Android besar akan mengikutinya dalam beberapa bulan[0]. Pilihan berikutnya kira-kira hanyalah produsen ponsel ceruk asal Tiongkok yang akan memberi penderitaan lain
      Sekarang saya hampir sepenuhnya terputus dari Google. Karena kebutuhan ponsel, saya jadi memakai ponsel tanpa Google Play Services, dan saya tinggal di negara tempat Google tidak dominan. Kadang-kadang hanya YouTube yang masih tersisa. Saya berharap bisa mengekspor arsip lama Google Photos dari Photos, tetapi ekspor Takeout terus gagal
      [0]: Saat dulu bekerja di Google, di sebuah milis engineering internal yang besar, seseorang bertanya langsung, “Apakah penghapusan port headphone dari Pixel karena Apple?”, dan jawaban tim produk pada akhirnya adalah permainan kata yang samar yang berarti “ya”
    • Setiap kali ada yang berkata “Safari adalah IE baru”, bagian inilah yang membuat saya memutar mata. Daripada Safari tidak menyertakan fitur yang hanya dipakai beberapa situs web, masalah yang jauh lebih besar adalah perusahaan browser dominan dapat menciptakan “standar” baru yang secara aktif membuat web lebih buruk bagi semua orang
      Tepatnya, buruk bagi “semua orang kecuali pengiklan murahan”
    • Usulan ini punya implikasi yang aneh, dan secara ekonomi juga tidak terlihat seperti masa depan yang bisa diwujudkan
      Berbeda dengan EME, Web Integrity API membutuhkan layanan pihak ketiga, dan selain biaya pemeliharaan, juga membutuhkan biaya pengembangan untuk terus merespons perlombaan senjata dengan para peretas yang mencoba membobol pemeriksaan ini
      Dalam industri attestasi yang berjalan dengan benar, beberapa server attestasi semestinya bersaing harga untuk memverifikasi pengguna sehingga jaringan menjadi efisien dan tangguh, tetapi saya rasa itu sulit terwujud. Attestasi yang layak membutuhkan teknologi yang sangat kompleks untuk tiap browser yang didukung, dan secara praktis hanya ada satu perusahaan yang ingin melakukan pengembangan browser yang berarti sekaligus mengoperasikan server attestasi
      Dalam industri attestasi yang dimonopoli, Google menjadi titik kegagalan tunggal untuk semua media yang dilindungi DRM di internet. Jika Google down, Netflix, Hulu, HBO, dan lain-lain juga ikut down karena tidak bisa memverifikasi versi Chrome yang disetujui. Selain itu, Google bisa mengubah biaya dan kebijakan secara sepihak, sehingga memiliki daya ungkit luar biasa terhadap perusahaan lain, dan perusahaan-perusahaan punya insentif untuk tidak menempatkan diri mereka pada posisi seperti itu
      Ini bisa bekerja jika seluruh industri media menerima Google Chrome sebagai satu-satunya browser yang didukung untuk media internet dan memberi Google kekuatan pasar serta daya ungkit seperti ini. Namun sulit dipercaya bahwa mereka akan lolos dari semua regulator besar di seluruh dunia, dan jika ada lubang yang berarti dalam kendali pasar, rencana ini tidak akan berjalan
    • Pemecahan perusahaan sangat sulit, terutama ketika sebuah organisasi dengan anggaran sekitar 400 juta dolar harus berhadapan dengan perusahaan raksasa seperti ini
      Selain itu, Google bisa membela diri dengan menunjuk raksasa lain seperti Microsoft, Apple, dan Amazon untuk mengatakan bahwa ini bukan perilaku monopoli. Seperti yang mereka lakukan untuk mencegah pemecahan bisnis iklan dalam gugatan bulan Januari
      Ditambah lagi, masalahnya banyak pengguna tidak peduli. Kenyamanannya terlalu besar, dan bukan hanya perusahaan seperti Google, tetapi juga raksasa lain seperti Walmart, terlalu mudah mengubah opini publik
  • “Memahami dengan lebih baik orang di sisi lain web” disebut sebagai tujuan proyek, sementara pengantarnya mengatakan data ini berguna untuk penghitungan tayangan iklan, pemblokiran bot jejaring sosial, penegakan hak kekayaan intelektual, dan pencegahan kecurangan di gim web
    Enyahlah, Google. Tujuan browser adalah menampilkan halaman web kepada saya, bukan mencari tahu tentang saya

    • Selama Google terus memimpin pangsa pasar browser, mereka tidak akan peduli dan itu tidak akan pernah berubah
  • Kegunaan proposal WEI cukup jelas hanya dari dokumen penjelasannya (https://github.com/RupertBenWiser/Web-Environment-Integrity/)
    Google bisa “meminta token yang membuktikan fakta-fakta inti tentang lingkungan tempat kode klien dijalankan”
    Google “mengambil keputusan akhir apakah akan memercayai penilaian yang dikembalikan oleh pihak pemberi bukti”
    Google jadi bisa “mengevaluasi keaslian perangkat serta representasi jujur dari software stack dan trafik perangkat”
    Di sini saya membaca “situs web” dan “server web” dalam teks asli sebagai “Google” agar maksudnya lebih jelas
    Mengapa Google menginginkan kemampuan seperti ini di browser? Apa yang ingin mereka lakukan? Apa langkah berikutnya?
    Jika saya eksekutif pemasaran Google, saya akan berkata “kita harus mengunci browser web agar bisa menghasilkan lebih banyak uang dari iklan”
    “Pemblokir iklan harus dihentikan. API WEI baru akan menjamin bahwa pemblokir iklan tidak sedang berjalan, iklan terlihat, dan DRM tidak dilanggar”
    “Kami juga ingin mencegah penipuan iklan. Dengan WEI, kami bisa memastikan klik iklan normal dan orang benar-benar melihat iklan. Jika kami tidak bisa mengendalikan sistem operasi, seperti di Chromebook dan ponsel Android, maka kami harus mengendalikan browser web dengan kepastian kriptografis”
    Tahap 1 adalah membuat browser mengadopsi dan mengimplementasikan Web Environment Integrity
    Tahap 2 adalah mewajibkan semua situs web Google menggunakan Web Environment Integrity, atau aksesnya diblokir
    Tahap 3 adalah mewajibkan semua situs web yang menayangkan iklan Google menggunakan Web Environment Integrity
    Tahap 4 adalah profit!
    Web Environment Integrity adalah awal dari DRM-isasi dan enshittification web yang lebih jauh

    • “Ada ketegangan antara kegunaan penilaian yang deterministik dan cakupan penerapan yang tinggi yang dibutuhkan untuk penggunaan anti-penipuan, dengan risiko bahwa situs web akan memakai fitur ini untuk mengecualikan pemberi bukti tertentu atau browser yang tidak dapat dibuktikan. Kami menantikan diskusi tentang topik ini, dan mengakui bahwa ada nilai tambah yang signifikan bahkan ketika penilaian tidak diberikan secara deterministik (misalnya: pengguna yang bertahan)”
      Tidak perlu khawatir. Mereka bahkan sudah memikirkan para pengguna yang bertahan
    • Paragraf ini dalam dokumen penjelas menarik perhatian saya
      “Pengguna menyukai mengunjungi situs web yang mahal untuk dibuat dan dipelihara, tetapi sering kali ingin atau perlu melakukannya tanpa membayar langsung. Situs-situs web ini didanai oleh iklan, tetapi pengiklan hanya mampu membayar ketika iklan dilihat oleh manusia, bukan robot. Karena itu muncul kebutuhan bagi pengguna manusia untuk membuktikan kepada situs web bahwa mereka adalah manusia, terkadang melalui tindakan seperti challenge atau login”
      Secara redaksi, ini terdengar seperti memungkinkan situs berita memblokir pengguna yang tidak membayar, tetapi ini juga akan menargetkan Internet Archive, arsip halaman web lain, mode Reader, dan sebagainya
    • Ini bisa dipakai dengan cara seperti “Anda sedang mencoba mengakses konsol AWS, apakah laptop Anda sudah ditambal?”
  • Bagian ini dalam diskusi blink-dev menarik perhatian saya
    “Keputusan yang bisa kami ambil pada akhirnya akan dipengaruhi oleh perdebatan sosial yang lebih besar tentang privasi (regulasi, dll.). Karena privasi yang sempurna berarti impunitas yang sempurna bagi penjahat”
    Mencegah perangkat saya memata-matai saya atas nama pemerintah atau perusahaan tidak berarti “impunitas yang sempurna bagi penjahat”
    Kesampingkan dulu soal pembuktian; jika kita memikirkan enkripsi perangkat modern berbasis ranah keamanan dan pembatasan input sandi yang bersifat menghancurkan diri sendiri yang menyertainya, ini bisa dianalogikan dengan merancang brankas yang sangat baik, yang dapat otomatis menghancurkan isinya jika dibobol. Lalu apakah setiap kali brankas seperti itu dijual, pemerintah harus selalu memiliki kuncinya sendiri?

    • Lucu melihat hukum dan regulasi yang dimaksudkan untuk mencegah perusahaan menyalahgunakan hak orang-orang dibungkus sebagai “perdebatan sosial yang lebih besar”
      Perdebatannya hanya antara orang-orang yang ingin haknya dihormati dan perusahaan yang tidak mau melakukannya. Membingkainya seolah-olah ini sebuah perdebatan hanyalah upaya terang-terangan untuk menyusun narasi posisi mereka demi para pelobi
      “Privasi yang sempurna” juga strawman. Kompromi antara tanpa privasi dan privasi sempurna tidak harus berupa “Google memanen data pengguna bertentangan dengan kehendak mereka”
    • “Mereka yang menyerahkan kebebasan esensial demi membeli sedikit keselamatan sementara tidak layak mendapatkan kebebasan maupun keselamatan”
      Terlepas dari misantropi tokoh bermasalah itu, kutipan ini menjadi pengingat yang baik bahwa argumen “tapi para penjahat!” sering dipakai tetapi jarang benar-benar dibenarkan
  • Setelah memikirkannya selama beberapa hari, saya baru sadar sekarang: ini adalah mekanisme untuk memblokir seluruh web scraping umum tanpa jalan memutar
    “Kompatibilitas adversarial” dari proyek seperti Nitter, Teddit, Invidious, dan youtube-dl semuanya akan hilang. Situs arsip seperti archive.org dan archive.ph juga bisa diblokir oleh situs yang mewajibkan pembuktian
    Seperti industri penerbitan yang takut pembajakan lalu “diselamatkan” oleh Kindle, perusahaan media yang tidak bisa menemukan model bisnis juga akan berbondong-bondong berharap Google menyelamatkan mereka
    Sepertinya akan jadi berat

    • Jika itu benar-benar terjadi, pasar gelap untuk peternakan “perangkat tepercaya” akan membesar. Ini tidak jauh berbeda dari yang sudah terjadi sekarang, tetapi skalanya bisa jauh lebih besar
      Tentu saja, kalau begitu layanan scraping yang punya insentif finansial akan tetap berjalan, dan yang dirugikan hanya individu jujur yang menginginkan kebebasan user agent. Sama persis seperti banyak DRM lainnya
    • Tepat di bagian itu. Selain itu, dari sudut pandang Google, jika sebagian besar web bersembunyi di balik pembuktian ini, membuat indeks web juga menjadi mustahil atau sangat mahal
    • Membayangkan ini benar-benar dipakai membuat saya jauh lebih serius mempertimbangkan pindah ke Firefox
      Masih ada beberapa hal yang tidak saya suka, dan cukup banyak ekstensi yang saya pakai hanya untuk Chromium, tetapi rasanya sekarang tidak ada pilihan lain
  • Bagus kalau masalah ini mendapat lebih banyak perhatian. Diskriminasi user agent, yakni tindakan seperti “kalau bukan Chrome terbaru, enyahlah”, seharusnya ilegal
    Selama penggunaan saya tidak membebani layanan secara berlebihan, saya tidak boleh dibatasi dalam memakai perangkat keras atau perangkat lunak apa pun
    Hal yang sama berlaku untuk hambatan lain yang sengaja menghalangi aksesibilitas dan interoperabilitas. Praktik membuat “standar” yang begitu rumit dan sering berubah hingga hanya Google yang bisa mengimplementasikannya dan mengikuti perubahannya, lalu mempromosikannya agar semua situs pada praktiknya menjadi khusus Chrome terlepas dari manfaat nyatanya, harus dicegah
    Saya sarankan mencari semua orang yang bertanggung jawab atas hal ini dan menggunakan hak kebebasan berbicara. Itu efektif terhadap politisi, jadi seharusnya juga efektif terhadap jenis penjahat lain seperti ini
    Sekali lagi, Stallman sangat visioner: https://www.gnu.org/philosophy/right-to-read.html

    • Mengapa pemilik atau operator situs web tidak boleh menentukan kepada siapa mereka mengirim data?
      Secara konsep, apa bedanya dengan dulu ketika situs-situs memblokir IE karena sentimen buruk?
    • User agent seharusnya sudah benar-benar ditinggalkan. Sekarang jarang mencapai tujuannya, dan ada alternatif yang lebih baik
    • Saya benar-benar tidak suka upaya Google ini dan berharap tidak dijalankan, tetapi mengapa ini harus ilegal?
      String user agent perangkat lunak hanyalah pengenal yang ditambahkan browser untuk memberi konteks kepada server, bukan lapisan perlindungan
      Google berhak membatasi penggunaan perangkat lunaknya dengan cara yang mereka inginkan, dan kita bisa saja tidak memakainya
      Tidak ada hak dasar atas internet terbuka, dan tidak ada pihak yang berutang hal itu kepada kita. Saya berharap kita bisa kembali ke masa ketika internet jauh lebih terbuka dan kurang terkomersialisasi, tetapi hari seperti itu tidak akan datang lewat regulasi hukum
    • Kalau Chrome terbaru diblokir dan versi lama diizinkan, apakah itu diperbolehkan menurut usulan tersebut?
    • String user agent setidaknya masih bisa disamarkan
  • Ini keliru di begitu banyak lapisan sampai saya tidak tahu harus mulai dari mana
    Pertama, saya tidak suka “usulan” semacam ini. Pada kenyataannya sikapnya adalah “kami sudah mengimplementasikannya di produk utama kami dan akan memaksakannya kepada pengguna dengan ramah, dan kalau punya pilihan kalian boleh tidak memakainya”
    Berikutnya adalah bagian “menjamin bahwa Anda bukan robot dan bahwa browser tidak dimodifikasi atau diutak-atik dengan cara yang tidak disetujui”. Saya memakai browser open-source yang bukan berbasis Chromium, yaitu Firefox, dan bisa memodifikasi serta mengompilasi ulang sesuka saya. Kalau mau, saya juga bisa memakai links, elinks, lynx, dillo, dan memang saya pakai. Siapa kalian sampai mengatur perangkat lunak apa yang saya jalankan di komputer saya sendiri?
    Ini adalah kembalinya gelombang DRM era 90-an. Serangan berkelanjutan terhadap perangkat lunak terbuka, platform terbuka, dan protokol terbuka
    Ini membuat gila sekaligus sedih

    • Pada era 90-an, setidaknya saya mengendalikan 100% kode yang berjalan di komputer saya
      Sekarang ada segala macam lingkungan eksekusi “tepercaya” dan komputasi pengkhianat seperti TPM, tidak bisa dihindari, dan kunci publik milik orang lain tertanam di silikon
  • Penulis usulan yang mengunci issue GitHub[0] juga berkomentar di HN, tetapi sejauh ini masih diam di sini juga: https://news.ycombinator.com/item?id=36825097
    [0] https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • Mereka juga melanggar kode etik penting[1], dan bahkan menutup keluhan yang sah[2] secara agresif
      Googler RupertBenWiser[3] dan yoavweiss[4] hanya sedang mengikuti kebijakan Google. Khususnya, sangat menjijikkan ketika yoavweiss mencoba berpura-pura bahwa issue asli yang ia tutup paksa tanpa bahkan membaca komentarnya adalah “spam”[5]
      Menurut saya kedua pengguna itu bertindak sangat jahat, dan tidak benar-benar mematuhi kode etik rekayasa
      Tindakan mengunci repositori GitHub saja sudah menunjukkan bahwa mereka sendiri tahu
      Sangat menyedihkan melihat betapa jatuhnya Google dan para Googler. Tempat yang dulu menjadi rumah inovasi, pertumbuhan, dan penciptaan teknologi kini hanya soal iklan, penyalahgunaan posisi pasar untuk memberi Chrome keuntungan yang tidak masuk akal pada fase akhir perang browser, dan lebih banyak hal serupa
      Sepertinya sekarang saatnya mengambil tindakan antitrust terhadap Google. Kalau belum, kita harus pindah ke Firefox dan berhenti memakai Chrome. Mozilla menentang usulan ini dan para insinyur yang mendorongnya[6]
      [1] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [2] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [3] https://github.com/RupertBenWiser
      [4] https://github.com/yoavweiss
      [5] https://github.com/RupertBenWiser/Web-Environment-Integrity/...
      [6] https://github.com/mozilla/standards-positions/issues/852#is...
    • Reputasi orang bernama Ben Wiser itu sudah terperosok terlalu dalam ke lubang toilet, sampai apa pun yang ia lakukan atau katakan tampaknya hampir mustahil memulihkannya
      Seperti lelucon lama, “sekali saja dengan kambing…”
  • Dari sudut pandang pengguna, “atestasi” ini tidak punya nilai apa pun
    Browser seharusnya memungkinkan kita melakukan apa pun yang kita inginkan. Misalnya, kita harus bisa menghapus iklan atau memblokir akses ke canvas dan WebGL, dan situs tidak boleh bisa mengetahuinya
    Selain itu, atestasi ini kemungkinan besar akan memberikan sinyal fingerprinting browser tambahan, dan itu bukan sesuatu yang diinginkan

    • Atestasi adalah konsep yang bagus untuk hal-hal yang saya kendalikan. Bisa laptop karyawan, server saya, ponsel saya, dan sebagainya
      Saya mungkin ingin mengontrol dan memverifikasi bahwa perangkat-perangkat saya masih berada di bawah kendali saya, dan akan lebih baik jika tidak perlu masuk langsung ke pusat data setiap minggu untuk memeriksanya. Konsepnya sendiri tidak buruk
      Namun konsep ini tampaknya dimaksudkan untuk menghalangi pemblokir iklan, dan mencegah browser seperti Brave berpura-pura sebagai Chrome sambil memblokir iklan tanpa ekstensi
      Satu-satunya penggunaan positif bagi pengguna yang terpikirkan hanyalah software yang di-hosting sendiri. Mungkin juga bisa dipakai untuk mendeteksi serangan man-in-the-middle atau malware yang mengutak-atik browser. Dalam praktiknya, ini akan menjadi “Firefox dilarang, Linux dilarang, pemblokir iklan dilarang”
    • Secara teori, kita bisa membayangkan skenario di mana situs web bank menolak akses kecuali seluruh stack sistem operasi dan browser lolos atestasi
      Dengan begitu, hal-hal seperti keylogger, ekstensi browser berbahaya, atau pembajakan sesi bisa disingkirkan
      Tentu saja, dalam praktiknya ini akan dipakai untuk mengunci konten dan memaksa pengguna menonton iklan yang tidak bisa dilewati
    • Atestasi bisa bernilai di jaringan perusahaan. Misalnya, memastikan hanya laptop perusahaan yang sudah di-patch yang dapat mengakses layanan tertentu
      Namun software untuk melakukan hal semacam ini di jaringan privat sudah ada. Saya sangat yakin fitur seperti ini sama sekali tidak punya tempat di web terbuka
      Proposal ini memusuhi pengguna, dan bisa sangat berbahaya bagi masa depan web
  • Apakah Anda sedang memakai Chrome sekarang? Saya tidak enak mengatakannya, tetapi Anda juga bagian dari masalah. Tinggal beralih ke yang lain saja
    Saya bukan orang yang sangat anti-Google. Saya juga memakai Gmail dan menggunakan Google sebagai mesin pencari. Namun Firefox adalah browser yang bagus dan saya menggunakannya sebagai browser harian. Edge, Brave, Safari, dan browser DDG juga merupakan opsi
    Anda perlu beralih hari ini dan mulai mengurangi daya ungkit Google

    • Edge dan Brave berbasis Chromium. Brave akan memblokir API ini untuk sementara, tetapi itu bisa berubah jika terlalu banyak situs mewajibkannya sehingga pangsa pasarnya terdampak
      Karena mereka tidak memblokir sebagian besar perubahan yang Google dorong ke Chrome, mereka tetap banyak berkontribusi pada dominasi Google atas internet
      Jika benar-benar ingin menggoyahkan kendali Google atas platform web, pilihan yang nyata hanyalah Firefox dan Safari