1 Punkte von GN⁺ 2023-07-27 | 1 Kommentare | Auf WhatsApp teilen
  • Googles Vorschlag Web Environment Integrity (WEI) könnte es Websites ermöglichen, einen Nachweis über die Browserumgebung zu verlangen und nicht zugelassene Clients zu blockieren, wodurch das offene Web wie siloartige Apps funktionieren würde
  • Kern der Architektur ist ein externer Attestation Agent, der Browser und Plug-ins prüft; Websites entscheiden anhand des Ergebnisses, ob sie Zugriff gewähren
  • Zu den genannten Anwendungsfällen gehört Google Play als Anbieter von Nachweisen, einschließlich eines Szenarios für Ad Impressions und Bot-Abwehr, bei dem Werbung nur legitimen Nutzern statt automatisierten Prozessen ausgeliefert wird
  • Nutzer könnten aufgrund ihrer Browserwahl, Adblocker, älteren Geräte oder Abhängigkeit von assistiven Technologien ausgeschlossen werden, wodurch Barrierefreiheit und Inklusion ebenso wie die Generativität des offenen Webs ins Wanken geraten
  • Hinzu kommen gesperrte Issues und Kommentare im Google-Repository, Mozillas Ablehnung sowie unklare Attester bei Apple Private Access Tokens und IETF PrivacyPass; Fragen zu Standardisierung und regulatorischen Reaktionen bleiben offen

Wie WEI das offene Web bedroht

  • Web Environment Integrity (WEI) ist ein Vorschlag, der Websites ermöglichen soll, einen Nachweis über die „Integrität“ der Browserumgebung anzufordern
  • Websites könnten Seiten nur auf bestimmten Geräten oder in bestimmten Browsern anzeigen und anderen Clients den Dienst verweigern
  • Diese Struktur hätte den Effekt, clientseitige Software an bestimmte Websites zu binden und siloartige Apps zu schaffen
  • Plattformen und Nutzer, die die bevorzugte Client-Software nicht verwenden können, wären benachteiligt
    • Nutzer, die sich keine ausreichend aktuellen Geräte leisten können
    • Nutzer, die spezielle Browser oder assistive Technologien benötigen
    • Nutzer, für die Screenreader-Leistung oder Kompatibilität mit älteren bzw. günstigen Geräten wichtig ist
  • Wegen dieser Möglichkeit des Ausschlusses wird WEI als antisozialer Vorschlag kritisiert, der den Designprinzipien des Webs widerspricht

Mechanismus zur Browser-Beglaubigung

  • WEI ist so aufgebaut, dass ein Browser von einem externen Agent eine Attestation über seine „Integrität“ erhält und diese an die Website weitergibt
  • Es wird angenommen, dass der Agent Browser und Plug-ins prüft und nur bei bestandener Prüfung eine Freigabe ausstellt
  • Die Website kann anhand dieses Freigabeergebnisses entscheiden, ob sie den Dienst bereitstellt
  • Oberflächlich wirkt dies wie eine Funktion, die im Interesse des Nutzers garantiert, dass die Umgebung nicht manipuliert wurde; die praktischen Anwendungsfälle sind jedoch eher auf Schutz von Unternehmen ausgerichtet
  • Der Vorschlag enthält die Aussage, dass Google Play als Attestation-Anbieter fungieren könnte, sowie ein Beispiel, bei dem Werbung nur legitimen Nutzern und nicht automatisierten Prozessen ausgeliefert wird

Werbung, Bots und Adblocker

  • Im Hintergrund des Vorschlags stehen Interessen rund um Werbeeinblendungen und Bots
    • Werbetreibende wollen Kosten senken
    • Websitebetreiber wollen Werbung anzeigen
    • Googles Werbenetzwerk rechnet nach Impressions ab
    • Bots erzeugen Impressions
  • WEI lässt sich als Lösung lesen, bei der Bots per Nachweis ausgeschlossen werden, sodass Ad Impressions nur bei Nutzern entstehen, die bei Google Play angemeldet sind
  • Bots lassen sich häufig schon anhand von Log-Informationen wie dem User-Agent-String unterscheiden, doch der User Agent kann gefälscht werden
  • Ausreichend motivierte Bots können auch stärkere Sicherheitsmaßnahmen umgehen und mit Tools wie Selenium WebDriver über legitime Browser Anfragen stellen
  • Die zentrale Schwachstelle liegt beim Attester
    • Ein Angreifer kann den Attester dazu bringen, den Client als legitim erscheinen zu lassen
    • Oder er kann einen legitimen Client so verwenden, dass der Attester daran keinen Anstoß nimmt
  • Letztlich können Bots so ausgefeilt werden wie echte Browser und die Attestation bestehen; WEI wird daher eher als gegen Adblocker gerichtet interpretiert denn als gegen Bots

Missbrauchspotenzial und Wiederkehr der Browserkriege

  • Ein Attestation Agent kann frei festlegen, auf welche Weise er Browser freigibt oder ablehnt
  • Diese Struktur öffnet willkürlichem Missbrauch die Tür
    • Websites könnten die Installation eines proprietären Datensammel-Agenten verlangen
    • Sie könnten den Dienst verweigern, wenn kein bestimmter Browser verwendet wird
    • Die Browserkriege der späten 1990er-Jahre könnten sich wiederholen
  • Das Tracking von Nutzern durch Werbenetzwerke gerät zunehmend in die Kritik, und Adblocker werden auch als Sicherheitsmaßnahme empfohlen
  • Werbung kann ein Weg sein, über legitime Websites Schadcode nachzuladen; deshalb empfehlen Sicherheitsexperten mitunter den Einsatz von Adblockern
  • Wird WEI akzeptiert, führt das zu der Kritik, dass das offene Web um Jahrzehnte zurückgeworfen würde

Vom generativen System zum Appliance-Modell

  • Jonathan Zittrains 『The Future of the Internet -- And How to Stop It』 unterscheidet ausgehend vom Telefonnetz zwischen Appliances und generativen Systemen
  • Eine Appliance funktioniert wie ein Toaster rund um eine Hauptfunktion; andere Funktionen sind eher Variationen davon
  • PCs und das Internet werden als generative Systeme eingeordnet, die grundlegende Funktionen ohne festgelegten Hauptzweck bereitstellen und deren Zweck von den Nutzern bestimmt wird
  • Das offene Web ist eine Sammlung von durch Nutzer entwickelten, nicht proprietären Frameworks und betont Interoperabilität sowie ein Gleichgewicht beim Datenzugriff und -besitz zwischen Anbietern und Endnutzern
  • Attestation nach willkürlicher Bewertung eines Agenten verwandelt das Web in eine Appliance; genauer gesagt macht sie den Browser zu einer Erweiterung appliance-artiger Websites
  • Websitebetreiber können bereits heute Appliances bauen, doch wenn sich solche Veränderungen summieren, sinkt der Nutzen des generativen offenen Webs

Barrierefreiheit und regulatorische Fragen

  • WEI „verursacht“ Barrierefreiheitsprobleme im Grundsatz nicht direkt, doch Kosteneffizienz kann so funktionieren, dass man sich auf 20 % des Browsermarkts konzentriert und damit 80 % der Nutzer erreicht
  • Die übrigen 20 % der Nutzer können ignoriert werden, weil ihre Unterstützung hohe Kosten verursacht
    • Nutzer, die spezielle Browser benötigen
    • Nutzer, für die Screenreader-Leistung wichtig ist
    • Nutzer, die Browser benötigen, die auf günstigen oder älteren Geräten laufen
  • Ein Gegenargument lautet, Zugangsprobleme müssten regulatorisch gelöst werden
  • Gute regulatorische Frameworks sind selten, und Technologie bewegt sich schneller als Gesetze
  • Kurzfristig muss das Risiko der Technologie selbst behandelt werden, langfristig auch die regulatorische Reaktion

Konflikt zwischen Unternehmensinteressen und offenem Web

  • Selbst wenn Unternehmen ihre Interessen schützen wollen, lässt sich das schwer rechtfertigen, wenn es Menschen schadet
  • Das Internet und das offene Web sind generative Systeme mit positiver Wirkung, weil Menschen entscheiden können, wie sie sie nutzen
  • Sobald diese Entscheidungsfreiheit schrumpft, bewegt sich das System in Richtung Appliance
  • Wenn Unternehmen ein generatives System zum Schutz ihrer Interessen auf eine Appliance reduzieren, schadet das an sich schon Menschen
  • Google wird dafür kritisiert, dass ein Unternehmen, das auf einem generativen System gewachsen ist, nun genau dieses System in eine Appliance umwandeln will, die den eigenen Bedürfnissen entspricht

W3C, Repository und Mozillas Reaktion

  • Zum WEI-Vorschlag wurden Verstöße gegen den W3C-Verhaltenskodex geltend gemacht; die zuständige Gruppe antwortete, dies falle nicht in ihren Zuständigkeitsbereich
  • Anschließend wurden den W3C-Ombudspeople Bedenken zum WEI-Vorschlag und zum Verhalten der Beteiligten übermittelt
  • Zu den Bedenken gehörte, dass Maintainer des GitHub-Repositorys Community-Issues schließen
  • Am 22. Juli 2023 schloss Google im Repository Beitragsmöglichkeiten, darunter das Erstellen von Issues und Kommentare
  • Mozilla lehnt WEI ab und erklärte, der Vorschlag widerspreche Mozillas Prinzipien und Vision für das Web
  • In Chromium existiert bereits ein WEI-bezogener Commit; es gibt die Sorge, dass die Funktion schneller erscheinen könnte, bevor die Spezifikation feststeht

Apple Private Access Tokens und PrivacyPass

  • Apple bietet seit etwa einem Jahr eine ähnliche API namens Private Access Tokens an
  • Die Private Access Tokens im Apple-Entwicklerblog implementieren einen Mechanismus, der WEI nahezu entspricht
  • Allerdings empfiehlt Apples Dokumentation: „Blockiert beim Senden einer Token-Challenge nicht das Laden der Hauptseite und ermöglicht auch Clients, die Tokens nicht unterstützen, den Zugriff auf die Website“
  • Der Ton der Apple-Dokumentation steht im Gegensatz zur Motivation von WEI; Private Access Tokens werden als Mechanismus dargestellt, der statt störenderer Authentifizierungsverfahren wie CAPTCHA genutzt wird
  • Der Token Issuer wird nicht als opaker Prozess beschrieben, der auf dem Gerät des Nutzers läuft, sondern als externer Webdienst; dies liest sich als Mechanismus, mit dem ein CDN Anfragen an den Origin-Server authentifiziert
  • Das Protokoll wird von der IETF PrivacyPass Working Group definiert
  • Laut PrivacyPass Protocol Draft besteht die vom Client an den Issuer gesendete Information lediglich aus der Server-Challenge in Form eines verschleierten Hashs
  • In diesem Fall werden aus Sicht des Issuers keine persönlichen Daten offengelegt; da es keine Prüfung von Browser- und Plug-in-Umgebung gibt, ist es schwer, bestimmte Browser von einer Attestation auszuschließen

Unvollständige Teile von PrivacyPass und Diskriminierungspotenzial

  • Analysiert man PrivacyPass nur als Issuer-Protokoll, ist es unvollständig
  • Der fehlende Teil ist, wie Client und Attester miteinander interagieren
  • Der Issuer kennt keine personenbezogenen Daten, kann aber beeinflussen, welcher Attester verwendet wird
  • Der Attester bleibt ein unbekanntes Element, dessen konkretes Verhalten nicht festgelegt ist
  • Mehrere Teile der Spezifikation nennen nur mögliche Vorgehensweisen, lassen konkrete Verfahren aber offen
  • Es ist möglich, dass der Client keine sensiblen Attribute an den Attester sendet; was dann passiert, wird jedoch nicht behandelt
  • Wegen dieser Offenheit können dieselben Probleme wie bei einem WEI-ähnlichen Modell umgesetzt werden
  • Auch das PrivacyPass-Architekturdokument erkennt in Abschnitt 5.1 „Discriminatory Treatment“ die Möglichkeit diskriminierender Behandlung an

Kartellrecht, Datenschutz und Wege der Standardisierungsreaktion

  • Ein Hacker-News-Kommentar wurde geteilt, dem zufolge es nicht ausreicht, sich auf GitHub bei Google zu beschweren
  • Dieser Kommentar nannte Kontaktstellen von Kartellbehörden in den USA, der EU, dem Vereinigten Königreich, Indien und Kanada
  • Kartellrecht ist nur ein Weg; PrivacyPass und Apple Private Access Tokens haben ähnliche Probleme
  • In der EU können Bedenken bei folgenden Stellen vorgebracht werden
  • Zu PrivacyPass kann man der Mailingliste der IETF PrivacyPass Working Group beitreten, Bedenken vorbringen und in der Phase der Draft-Annahme widersprechen

Weitere Bedenken zu Googles internen Prozessen

  • Alex Russell von Google/Chrome/Blink versuchte, WEI als Fall neu zu rahmen, in dem Menschen, die etwas Gutes für das Web tun wollten, sich von dem mitreißen ließen, was sie „tun können“, und dabei verpassten, was sie „tun sollten“
  • Diese Erklärung enthielt sinngemäß, dass Google keine Hierarchie habe, die dazu zwingt, die Frage „Sollten wir das tun?“ zu stellen
  • Die unmittelbaren Bedenken sind zweierlei
    • Dass Google auf Prozessebene nicht fragt: „Sollten wir das tun?“
    • Dass auch einzelne Googler diese Frage unabhängig von Google-Prozessen nicht stellen
  • Zusammengenommen führen diese beiden Elemente zu der Kritik, dies komme einer moralischen Bankrotterklärung nahe
  • Zu diesem Zeitpunkt lag noch keine offizielle Reaktion von Google vor

1 Kommentare

 
GN⁺ 2023-07-27
Kommentare auf Hacker News
  • Ist das ernst gemeint?

    • Der Autor dieses Beitrags ist bei diesem Thema peinlich ahnungslos.
      Es gibt zwei Arten von Bots. Seriöse Bots bieten Website-Betreibern meist einen positiven Austausch, geben sich per User-Agent zu erkennen, stellen Anfragen aus vorhersehbaren IP-Bereichen und halten sich an robots.txt. Dazu gehören die meisten Suchmaschinen-Crawler, Link-Preview-Bots von Apps wie WhatsApp und RSS-Reader.
      Bösartige Bots dagegen zielen auf Ressourcen mit teuren und wertvollen Informationen, halten sich nicht an robots.txt, nutzen Residential-IP-Botnetze, um IP-Sperren zu umgehen, und ändern als Erstes den User-Agent, damit sie wie normaler Traffic aussehen. Manchmal bezahlen sie sogar Menschen dafür, Fake-Accounts anzulegen.
      Der Ansatz des Autors ist daher ein Zirkelschluss. Er identifiziert Bots anhand des User-Agents und erklärt dann, weil es Bots mit unterscheidbaren User-Agents gibt, den restlichen Traffic für nicht-botartig. Hinzu kommt, dass er Server-Logs betrachtet hat, auf denen es keine Daten gibt, die sich böswillig zu scrapen lohnen. So wie Ocean’s 11 ein Casino ausraubt und nicht den Laden um die Ecke, scrapen professionelle Bot-Betreiber wertvolle Informationen dort, wo Abwehrmaßnahmen im Einsatz sind, nicht auf privaten Blogs.
    • Genau hier hat er mein Vertrauen verloren.
      Als jemand, der bei Google arbeitet, aber absolut nichts mit Werbung, Browsern oder Erkennung von Werbebetrug zu tun hat: Ich wünschte, die Angreifer, die Google und Werbetreibenden Geld abziehen und davon leben, wären so unfähig wie dieser Autor.
    • Den Zehntausenden, die im Bereich Missbrauchsprävention arbeiten, sollte man wohl mal von User-Agent-Strings erzählen.
  • Ich habe es auch in anderen WEI-Threads gesagt, aber hier noch einmal:
    Statt alle gemeinsam nur mit den Armen zu rudern und ein böses Unternehmen zu beschimpfen, frage ich mich, ob tatsächlich jemand wegen der wettbewerbswidrigen Auswirkungen dieses Vorschlags Kontakt mit Wettbewerbsbehörden wie der FTC oder der indischen CCI aufgenommen hat.

    • Genau derselbe Gedanke. Proteste auf GitHub sind emotional befriedigend, aber wirkungslos. Google interessiert das nicht und ist bereits berauscht von seiner Monopolmacht.
      Die Kontaktstellen der Kartellbehörden sind folgende:
      USA: https://www.ftc.gov/enforcement/report-antitrust-violation / antitrust@ftc.gov
      EU: https://competition-policy.ec.europa.eu/antitrust/contact_en / comp-greffe-antitrust@ec.europa.eu
      Vereinigtes Königreich: https://www.gov.uk/guidance/tell-the-cma-about-a-competition... / general.enquiries@cma.gov.uk
      Indien: https://www.cci.gov.in/antitrust/
      Ich habe keinen einfachen Kontaktweg gefunden, um bei der CCI eine Beschwerde einzureichen, aber das Verfahren scheint hier zu sein: https://www.cci.gov.in/filing/atd
      Kanada: https://www.competitionbureau.gc.ca/eic/site/cb-bc.nsf/frm-e...
      Falls andere es als Vorlage nutzen möchten, kann ich teilen, was ich an die FTC geschickt habe.
    • Wenn ihr im Vereinigten Königreich seid, könnt ihr euch auch an die Competition and Markets Authority wenden.
      Ich habe außerdem eine Petition beim Parlament erstellt und die mindestens 5 Unterstützer zusammenbekommen, die für Prüfung und Veröffentlichung nötig sind. Sobald sie veröffentlicht ist, teile ich sie auf HN.
      Den Petitionslink habe ich vorerst entfernt, werde ihn aber nach der Veröffentlichung wieder posten.
    • Offizielle Stellen zu kontaktieren ist eine gute Idee. Ich zitiere und erweitere mal den Aufruf zum Handeln, den ich in einem anderen Thread geschrieben hatte:
      Verbannt Google vollständig aus eurem Privatleben. Kein Chrome, keine Ausreden. Hört mit dem Unsinn auf oder verlasst diese Branche. Für die Suche nehmt Startpage, DuckDuckGo oder was auch immer.
      Entwickelt nur noch für Firefox und seine Ableger und baut Usability-Probleme in Chrome ein.
      Nutzt einfach dieselben Taktiken, die Google eingesetzt hat. Bündelt Firefox mit der Software, die ihr vertreibt, und entfernt wie Google die Konkurrenz von den Geräten der Nutzer. Macht npm-Module oder Websites in Chrome langsam und sagt Nicht-Chrome-Nutzern, dass der Dienst für sie günstiger ist. Geld bewegt Menschen.
      Zeigt Nutzern ein Pop-up, das zum Download von Firefox auffordert, und stellt einen Link oder eine Erklärseite bereit. Sagt ihnen, dass in Chrome derzeit Sicherheits- und Datenschutzrisiken erkannt wurden und ihr sofortiges Handeln empfehlt; normale Nutzer lassen sich dadurch leicht verunsichern und handeln.
      Denkt euch alle möglichen Wege aus, Google zu ruinieren. Macht die Suchergebnisse kaputt, füllt Repositories mit /dev/random, tut, was ihr euch vorstellen könnt. Alle haben immer gesagt, ihr seid schlau, also zeigt es.
      Googles Kapital sind Daten. Greift sie dort an, dann stirbt das Biest.
    • Man sollte sich daran erinnern, dass bereits mehrere Bundesstaaten wegen früherer Pläne von Google Kartellklagen eingereicht haben, unter anderem mit der Begründung, Google habe versucht, das Web in seinen eigenen Walled Garden zu verwandeln.
      Project NERA war Googles ursprünglicher Plan, das offene Internet in ein geschlossenes Ökosystem zu verwandeln. In Google-Dokumenten wird als Motivation offengelegt, „Walled Gardens erfolgreich über das offene Web hinweg zu imitieren, um Margen zu schützen“.
      Internen Dokumenten zufolge hätte Google mit dieser Strategie höhere Vermittlungsgebühren abschöpfen können, und ein Mitarbeiter beschrieb die Ambition von Project NERA als „die Vorteile einer engmaschigen ‚Betreibung‘ von Assets zu sichern, ohne die Assets zu ‚besitzen‘ und ohne die Schwierigkeiten, neue Verbraucherprodukte zu entwickeln“.
      Eine zentrale Strategie dafür war, den beliebten Browser Chrome zu nutzen, um Nutzer im Browser eingeloggt zu halten und sie zu tracken. Wenn man sich bei Google-Diensten wie Gmail oder YouTube anmeldete, wurde man auch im Browser angemeldet; meldete man sich im Browser ab, wurde man auch aus den Diensten abgemeldet.
      https://mspoweruser.com/project-nera-state-attorneys-general...
      https://storage.courtlistener.com/recap/gov.uscourts.nysd.56...
    • Habe ich bereits getan. Mehrfach.
      Google hat seit letztem Jahr sehr deutlich Signale in diese Richtung gesendet. Damals wollte es nur niemand glauben, weil die Tech-Blase noch nicht geplatzt war. Jetzt, da Google nicht mehr so großartig wirkt wie früher, werden vielleicht mehr Menschen ihre Vertreter kontaktieren.
  • Aus solchen Gründen verabscheue ich Google aktiv und meide Google-Produkte, abgesehen von YouTube.
    Das reicht bis ins Jahr 2010 zurück. Ich habe Chrome geöffnet und ausprobiert, und die Option, den Hintergrund eines YouTube-Kanals per Rechtsklick herunterzuladen, die in Firefox problemlos funktionierte, fehlte. Warum sollte man absichtlich verhindern, dass Nutzer etwas einfach per Rechtsklick herunterladen? Weil sie glauben, das Web gehöre ihnen.
    Ich habe Chrome nie benutzt und werde es auch nie benutzen. Wenn man Chrome verwendet, macht man am Ende die eigene Zukunft schlechter, sobald Google irgendwann ausreichend schlechte Richtlinien umsetzt, sodass fast niemand mehr die Beschränkungen umgehen kann.

  • Der Link zum Blog von Yoav Weiss war gut
    Es ging sinngemäß darum: „Wenn euch ein Vorschlag für die Web-Plattform nicht gefällt … könnt ihr das Gefühl haben, dass eure Einblicke und Erfahrungen wertvoll sein können, um der Plattform zu helfen, keinen großen Fehler zu machen. Gut so!! Sich an Diskussionen über die Web-Plattform zu beteiligen, ist entscheidend dafür, dass sie für alle und von allen gemacht wird … Bei kontroversen Browser-Vorschlägen ist es nicht ungewöhnlich, dass scheinbar wohlmeinende Leute mit Dutzenden oder Hunderten Kommentaren versuchen, ein Team umzustimmen. In all den Jahren, in denen ich an der Web-Plattform gearbeitet habe, habe ich nie gesehen, dass das funktioniert hätte. Kein einziges Mal.“
    Es klingt wie: „Wir finden es wirklich toll, wenn alle an der Diskussion teilnehmen. Und es hat unsere Entscheidungen kein einziges Mal beeinflusst.“

    • Tatsächlich gibt es hier zwei Seiten
      Erstens landet Feedback oft an der völlig falschen Adresse. Man kann Google nicht auf diese Weise davon abhalten, Google-Dinge zu tun
      Zweitens entfremden Tiefe und Niveau, auf denen Webstandard-Diskussionen geführt werden, die meisten Menschen. Deshalb wenden sich die Leute anderswohin, statt sich an der „Standardisierung“ zu beteiligen
      Das Web ist großartig, und es wurde großartig, weil es in den ersten 15 Jahren tatsächlich sehr einfach war, eine Web-Instanz zu betreiben. Aber Erfolg zog immer größere Unternehmen und komplexere Interessen nach sich, und heute sieht man neben der Arbeit, das Web zugänglicher zu machen, zugleich Dinge wie Web Environment Integrity und DRM
      Ein Verfahren, das öffentliche Kontrolle verlangt, scheitert am Ende, wenn die Öffentlichkeit niemanden ernennen kann, der diese Kontrolle hauptberuflich in ihrem Namen ausübt
    • Für einen persönlichen Blog gibt es darin ziemlich viel PR-Sprache
    • Die einzige wirkliche Lösung für solche Dinge ist, tatsächlich die Ärmel hochzukrempeln und Alternativen zu bauen
      Aber die meisten haben weder die Fähigkeiten noch die Zeit dafür, also bleibt es bei Debatten über die Farbe des Fahrradschuppens
    • Die offensichtliche Implikation ist, dass man Stakeholder nicht überzeugt, indem man in Fachdebatten hineinspringt, um über einen kontroversen Vorschlag zu schreien, den man auf HN gelesen hat. Wenn man Einfluss will, muss man ihn über Zeit aufbauen, indem man in der Community, die man beeinflussen möchte, Vertrauen gewinnt. Das ist nicht einmal kontrovers
      Besonders wenn man einen vergleichsweise trockenen Vorschlag wie WEI, der als Anti-Bot- und Anti-Cheating-Framework für Webinhalte gedacht ist, nimmt und ihn mit einem Clickbait-Titel wie „Google vs. the Open Web“ verpackt, wird man bei Leuten, die sich täglich intensiv mit schwierigen Problemen beschäftigen, kaum Sympathien gewinnen
      Ob es ein guter Vorschlag ist, weiß ich ehrlich gesagt nicht. Aber das Problem, das er lösen will, existiert wirklich, daher möchte ich zunächst den Leuten, die es in gutem Glauben lösen wollen, eher einen Vertrauensvorschuss geben als denen, die spöttische Texte schreiben
  • Ich glaube, die Lage wird sich so entwickeln
    WEI-Prüfungen werden so simpel gestaltet sein, dass technisch versierte Leute oder Hacker sie leicht umgehen können. Kritik oder Widerstand kann man mit Aussagen wie „Sie müssen den Browser nur mit diesen 50 Einstellungen starten“ beruhigen
    Für normale Nutzer hingegen wird es so kompliziert sein, dass sie es nicht umgehen können und gezwungen werden, Werbung zu sehen
    So behalten Hacker ihren „offenen“ Zugang zum Web, während die große Mehrheit der 99 % im „Google“-Web unterwegs ist — eine Win-win-Struktur

    • WEI ist bereits ein Proxy auf dem Weg zu Play Protect, das selbst für Techniker mühsam zu umgehen ist
    • Wenn man versucht, Google Play Services durch https://microg.org/ zu ersetzen, merkt man, dass das nicht dem durchschnittlichen technischen Wissensstand entspricht
  • Können wir nicht einfach direkt zu der Phase übergehen, in der Google alles und jeden betreibt und besitzt und wir 50 % unserer Ernte abliefern müssen?

    • Ich frage mich, wie Googles Version des „Rechts der ersten Nacht“ aussehen würde
  • Bald werden Websites wohl Kernel-Zugriff verlangen, um zu prüfen, ob keine Cheats installiert sind. Natürlich sarkastisch gemeint

    • Das steht bereits als einer der Use Cases für WEI im Raum. Die vorgesehene WEI-Implementierung ist Play Protect, und sie befindet sich in ARM TrustZone, läuft also oberhalb des Kernels[0]. Damit hätten wir etwas, das noch invasiver ist als Anti-Cheat auf Kernel-Ebene
      [0] In ARM-Terminologie ist Kernel-Mode EL1, Hypervisor-Mode EL2 und TrustZone-Mode EL3. Jede Exception-Ebene ist eine höhere Privilegstufe
    • Ganz so extrem ist es zwar nicht, aber einige Banking-Apps unter Android haben früher geprüft, ob das Gerät gerootet ist, und dann den Start verweigert; es könnte also einen Präzedenzfall geben
    • SecuROM ist DRM für PC-Spiele, das ein Rootkit installiert. Ich habe erstmals davon erfahren, als es vor 15 Jahren in Spore eingesetzt wurde, und es hat meine Windows-Installation kaputtgemacht
    • Viele Online-Spiele verlangen das bereits. Valve ist dafür besonders berüchtigt
  • Das ist ein klares Zeichen von Googles Schwäche. Das Unternehmen verliert sein Monopol und versucht verzweifelt, am Internet festzuhalten.
    In den letzten Wochen wurde angekündigt, dass man das Browsing, etwa das Ansehen von YouTube-Videos, blockieren will, wenn ein Adblocker installiert ist.
    Fuchsia ist ein weiteres Beispiel. Weil Google die Kontrolle über Android verliert, hat man ein neues Projekt gestartet.
    Meine Empfehlung lautet: AdGuard Home, der Brave-Browser (Telefon, Tablet, Desktop), Bromite (Telefon), Firefox (Desktop) mit uBlock Origin sowie FreeTube auf dem Desktop. Allein Brave auf dem Telefon zu verwenden reicht, um Werbung und Tracker komplett auszuschalten.
    In der Open-Source-Community wird es immer jemanden geben, der schlauer ist, als Google denkt, und Gateways umgeht. Es ist traurig, dass Kevin Mitnick vor ein paar Tagen gestorben ist, aber es wird immer wieder einen neuen Kevin Mitnick geben.
    Google hat den gesamten Respekt der Community verloren und wird bald zusammenbrechen.

    • Ich arbeite an Fuchsia und weiß ehrlich gesagt nicht, wovon hier die Rede ist. Fuchsia und Android stehen eher in einem komplementären Verhältnis als in Konkurrenz zueinander.
      Wenn Informationen fehlen, neigen Menschen dazu, sich Geschichten zurechtzulegen, die zu ihrem eigenen Narrativ passen; das ist eine wirklich gefährliche Angewohnheit.
    • Die kleine Blase, in der ganz HN, oder zumindest die laute Mehrheit davon, lebt, ist schon interessant. Google wird nicht in absehbarer Zeit zusammenbrechen, und seine Produkte werden von Millionen bis Milliarden Nutzern weltweit geliebt.
      Google verliert auch kein Monopol. Brave Browser läuft auf Googles Chromium, und Firefox läuft auf Googles Geld. Auch die Dominanz in der Suche scheint nicht so bald zu verschwinden. Es gibt Gründe, warum fast die ganze Welt Google als Suchmaschine nutzt, warum man Videos auf YouTube ansieht und warum 70 % der Telefonnutzer ein Google-Betriebssystem verwenden. Es gibt auch einen Grund, warum Gmail bei privaten E-Mails mit großem Abstand führt.
      Nutzer mit Adblockern von YouTube auszuschließen, kann ebenfalls legitim sein. Niemand ist verpflichtet, YouTube zu nutzen; wer es nutzt, muss die Kosten tragen, indem er Werbung ansieht oder YouTube Premium bezahlt.
      Egal wie sehr HN über Google schimpft: Google ist eines der wenigen Unternehmen, die das Internet wirklich zu dem gemacht haben, was es ist. Der Einfluss auf die gesamte Menschheit ist bisher eindeutig eher netto positiv, und niemand ist verpflichtet, Google-Produkte zu nutzen. Ob die kostenlose Stufe von Gmail oder die Offenheit von Android: Es gibt Gründe, warum Google mit seinen Produkten führend ist.
    • Wenn man beim Anzeigen von Werbung oder beim Sammeln von Informationen derart paranoid ist, ist Brave vielleicht nicht die beste Wahl. Schließlich wurde das Unternehmen in der Vergangenheit schon einmal mit beiden Händen in der Keksdose erwischt.
      Außerdem nutzt du anderswo bereits Firefox. Nebenbei: Auch Mozilla sammelt Informationen.
    • Ich weiß nicht, was mit „verliert sein Monopol“ oder „verliert die Kontrolle über Android“ gemeint ist und was Android damit zu tun hat, am Internet festzuhalten.
    • Bromite wurde seit einem Jahr nicht mehr gewartet. Wenn man keinen inoffiziellen Build verwendet, ist es keine gute Idee, es zu nutzen.
  • Es ist traurig zu sehen, wie Google in den letzten Jahren in diese Richtung gedrängt wurde.
    Google war in den 2000er- bis 2010er-Jahren eine der wichtigsten treibenden Kräfte hinter dem offenen Web. Für die Suche brauchte Google Daten, und wenn alles offen war, konnte man auf alles zugreifen.
    Doch als neue Web-2.0-Unternehmen wie Facebook begannen, das Internet in Silos zu verwandeln, änderte sich die Lage. Der Grund, warum ich gegen Facebook war, war nicht das Data Mining, sondern dass es den Wandel ausgelöst hat, bei dem Unternehmen statt Websites Facebook-Seiten erstellten und Daten ohne Login nicht mehr zugänglich waren.

    • Stimmt. War Google nicht eine der wichtigsten Kräfte hinter PWA? Das Unternehmen hat viele neue Web-APIs eingeführt, bis hin zu WebUSB, damit Web-Apps mit nativen Apps und nativen APIs konkurrieren können.
      Um diesen Widerspruch aufzulösen, kann man nicht sagen, Google als Ganzes sei „für“ oder „gegen“ das offene Web. Wegen der berüchtigten internen Grabenkämpfe muss man wohl davon ausgehen, dass einige Teile von Google für das offene Web sind, andere dagegen, und dass mal die eine Seite die Oberhand gewinnt.
  • Ich will nicht den Advocatus Diaboli spielen, aber mit Blick auf die Geschichte des Personal Computing wäre ich eher überrascht, wenn das nicht durchkäme.
    Wenn man sich den Trend ansieht, dass verriegelte Smartphones zum Standard wurden und Windows zu einem Werbeträger geworden ist, wirkt das wie der nächste Schritt in der unvermeidlichen Evolution der IT.
    Vielleicht schenken Medien dem noch nicht viel Aufmerksamkeit, weil es sich um einen frühen Vorschlag handelt, aber angesichts der Implikationen ist es bemerkenswert, dass außerhalb von Hacker News im Web kaum darüber gesprochen wird. Auf YouTube scheint Rossmann ungefähr der Einzige zu sein, der ein Video zu diesem Thema veröffentlicht hat. Wenn man auf Twitter nach „web environment integrity api“ sucht, gibt es nur wenige Ergebnisse und fast keine Antworten. Sucht man auf Reddit nach der Kernzeichenfolge, haben die Ergebnisse mit nennenswerter Debatte nichts mit WEI zu tun.
    Vielleicht liegt es daran, dass Social Media in den letzten Zügen liegt, aber es scheint nicht mehr viele Menschen zu geben, die für das frühere Web oder allgemeines Computing kämpfen wollen.