1 Punkte von GN⁺ 2023-07-27 | 1 Kommentare | Auf WhatsApp teilen
  • Web Environment Integrity, entwickelt von vier Google-Ingenieuren, war ein API-Vorschlag, mit dem Websites Nachweis-Token über die Client-Umgebung der Nutzer anfordern können; Google hat ihn am 2. November 2023 verworfen
  • Das vordergründige Ziel war, Vertrauen und Sicherheit im Web zu erhöhen, etwa durch Verifizierung menschlicher Nutzer auf Werbeseiten, das Erkennen von Fake-Engagement auf Social-Plattformen oder die Prüfung der Regelkonformität in Online-Spielen
  • Mozilla sieht die Erkennung von Betrug und ungültigem Traffic zwar als lösenswertes Problem, lehnt den Vorschlag aber ab, weil unklar sei, welchen Fortschritt er in realen Anwendungsfällen bringe, und weil es klare Nachteile gebe
  • Kritiker befürchten, dass die Token auch ohne eindeutige Kennungen bei Missbrauch zu Überwachung und Kontrolle führen und durch die Einführung von DRM auf Webseiten Ad-Blocking im Browser nahezu unmöglich machen könnten
  • Da unklar ist, wer die Kontrolle über den attester und die Kriterienanforderungen hat, bleibt das Risiko einer Beschädigung des offenen Webs, bei der große Tech-Unternehmen Vertrauenswertungen und den Zugang zum Web bestimmen

Der Vorschlag zu Web Environment Integrity und seine Aufgabe

  • Google schlug den "Web Environment Integrity Explainer" vor; das Dokument wurde von vier Google-Ingenieuren verfasst
  • Laut einem Update vom 2. November 2023 hat Google diesen Vorschlag verworfen; ein dazugehöriger Folgebeitrag ist separat verlinkt
  • In einem Update vom 26. Juli 2023 wurde ein Commit vorgestellt, der wie ein Schritt zur Aufnahme dieser Funktion in Chromium wirkte
  • Rupert Ben Wiser, einer der Autoren des Vorschlags, hinterließ auf GitHub einen Kommentar, in dem er erkennen ließ, dass er die Gegenreaktionen wahrnimmt

Anwendungsfälle der tokenbasierten Verifizierung

  • Die Kernidee war, dass Websites Token anfordern, die Nachweise über die Client-Code-Umgebung enthalten, um der Verbindungsumgebung stärker vertrauen zu können
  • Die im Vorschlag genannten Anwendungsfälle lassen sich auf drei Punkte verdichten
    • Werbefinanzierte Websites prüfen, ob ein Nutzer ein Mensch und kein Bot ist
    • Soziale Websites unterscheiden zwischen echter Nutzerbeteiligung und Fake-Engagement
    • Nutzer von Online-Spielen prüfen, ob andere Spieler die Spielregeln einhalten
  • Google erklärte, dass die Token keine eindeutigen Kennungen enthalten würden; Kritiker meinen jedoch, dass bei Missbrauch ungerechtfertigte Überwachung und Kontrolle möglich wären
  • Mozilla erklärte in einer Issue zur Standard-Position, dass die Erkennung von Betrug und ungültigem Traffic zwar ein lohnendes Problem sei, dieser Vorschlag aber keinen klaren Weg zu echtem Fortschritt zeige und deutliche Nachteile bei einer Einführung habe

Bedenken zu DRM, Erweiterungen und attester-Kontrolle

  • Kritiker sehen in dieser API ein Mittel, um Nutzerverhalten im Web zu kontrollieren und verdeckt DRM auf Webseiten einzuführen, wodurch Ad-Blocking im Browser nahezu unmöglich werden könnte
  • Diese Möglichkeit weckt nicht nur Sorgen um die Nutzererfahrung, sondern auch um Netzneutralität und die Offenheit des Webs
  • Wer den attester kontrolliert, der die Client-Umgebung verifiziert, wurde zu einem zentralen Streitpunkt in der technischen Community
    • Es gibt die Sorge, dass Google oder andere große Tech-Unternehmen bei Kontrolle des attester Vertrauenswertungen manipulieren könnten
    • Es könnte sich eine Struktur verfestigen, in der einige Unternehmen darüber entscheiden, welche Websites als vertrauenswürdig gelten
  • Auch die Auswirkungen auf Browser-Modifikationen und Erweiterungen bleiben unklar
    • Im Vorschlag heißt es, Web Environment Integrity attestiere die Legitimität der zugrunde liegenden Hardware und des Software-Stacks und beschränke nicht die angegebenen Anwendungsfunktionen
    • Wie diese Darstellung bei erlaubten Erweiterungen oder in modifizierten Browsern angewendet würde, bleibt eine Grauzone
  • Der Vorschlag sah vor, dass ein attester allen Browsern, die bestimmte Kriterienanforderungen erfüllen, Dienste zu gleichen Bedingungen anbieten muss; wie diese Kriterienanforderungen festgelegt und von wem sie durchgesetzt werden, ist jedoch unklar

1 Kommentare

 
GN⁺ 2023-07-27
Hacker-News-Meinungen
  • Frühere Diskussionen: Web Environment Integrity API Proposalhttps://news.ycombinator.com/item?id=36817305 (618 Punkte/vor 4 Tagen/442 Kommentare), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 Punkte/vor 7 Tagen/94 Kommentare), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 Punkte/vor 6 Tagen/44 Kommentare)

    • Zugehöriger Beitrag: Es gibt auch den Fall von Apples Web-Attestation — Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - (530 Punkte/vor 1 Tag/398 Kommentare)
  • Es geht hier nicht einfach darum, wie im Titel „Adblocking nahezu unmöglich zu machen“, sondern darum, das Surfen im Internet nur noch mit Chrome, Safari, Edge zu ermöglichen und Änderungen oder Erweiterungen zu verhindern
    Es würde nur noch auf macOS, Windows, Android und iOS möglich sein und Custom-Android-Distributionen wie LineageOS oder GrapheneOS ausschließen
    Dazu gehört sogar, Internet-Crawling nur noch Google zu ermöglichen und damit private Crawler sowie konkurrierende Suchmaschinen zu blockieren

    • Man könnte Web-Browsing sogar nur noch auf CPUs ermöglichen, die von Apple, Microsoft und Google zugelassen wurden
      Dann wäre RISC-V vorerst außen vor, und selbst wenn es später unterstützt würde, wäre CPU-Wettbewerb nicht erlaubt
      Auch SoCs wären nur noch möglich, wenn diese Unternehmen sie zugelassen haben, und Formfaktoren wie Taschenrechner mit Webbrowser könnten ausgeschlossen werden
      Sogar UX-Änderungen auf OS-Ebene könnten kontrolliert werden, ähnlich wie Android früher eine dokumentenzentrierte Browser-UX eingeführt hat
      Aus Sicht von jemandem aus der Android-Welt wirken solche Beispiele wie Dinge, die bereits für Google/Android gelten
      [0] Dieser Punkt hängt davon ab, ob eine Web-Environment-Integrity-Implementierung den von ihnen genehmigten vollständigen Secure Boot erzwingt
      [1] Es gibt Taschenrechner, auf denen Android läuft, aber nicht Google/Android, sodass Chrome möglicherweise nicht laufen kann. Es gibt auch viele seltsame Android-Geräte wie laufende Roboter, Zahnbürsten oder Urinale
      [2] Es gäbe sicher bessere Beispiele, aber wichtig ist, dass es eher um Veränderungen des gesamten OS ging als um Browser-Wettbewerb
    • Remote Attestation stützt sich meines Wissens auf Hardware-Attestation, sodass solche Websites nur noch auf zugelassener DRM-Zwangshardware und entsprechenden Architekturen laufen würden
      Möglich wären nur Anbieter wie Intel, AMD und Qualcomm; Open-Source-Firmware, -Architekturen und -Hardware wären ausgeschlossen
    • Wenn das Erfolg hat, werden die Kartellverfahren gegen Microsoft wie ein Kinderspiel wirken
    • Dann könnten Länder mit schlechten Beziehungen zu den USA am Ende sogar das wirklich freie Internet haben
      Solche Technologiedienste und Produkte wären für sie entweder unerwünscht oder unzugänglich, und die Dritte Welt würde gezwungen, eigene Lösungen zu verwenden, was möglicherweise in eine innovativere, nicht werbegetriebene Richtung führt
    • Am Ende sieht es danach aus, als würde sich ein kommerzielles Internet, das Unternehmen zufriedenstellt, von einem föderierten, öffentlichen Internet für freies Denken abspalten
      Um diese Entwicklung zu umgehen, ist es wohl am besten, sich auf föderierte Publishing-Tools zu konzentrieren
      Wenn Unternehmen das Internet kaputtmachen wollen, müssten sie zerstörerischer sein als ein Atomkrieg, und wir können jederzeit um sie herum routen
  • Ich verstehe nicht, wie Software Engineers, die so etwas bauen, weiterarbeiten können
    Ich frage mich, ob bezahlte Engineers oder Beteiligte nicht den Mut oder die Würde haben zu kündigen
    Wenn man von mir verlangt hätte, so etwas durchzudrücken, wäre ich bei jedem Angebot sofort gegangen, und ich kann kaum glauben, dass intern bei Google niemand dagegenhält
    Falls es tatsächlich veröffentlicht wird, hoffe ich, dass es am Ende massiv auf Google zurückfällt

    • Es fühlt sich an, als hätte eine Branche, für die es besser wäre, Gräben auszuheben und wieder zuzuschütten, zwei oder drei Generationen von Entwicklern verschlungen
      Vielleicht ist das auch der Grund, warum heutige Programmierung so wirkt, als würde sie mit den unteren 10 % an Talent gemacht
      Trotzdem machen es die Leute wegen des Geldes. Um 2015 herum habe ich ein FAANG-Angebot abgelehnt, weil ich auf die andere Seite der USA hätte ziehen müssen und vermutlich nicht hätte schlafen können, wenn ich für so ein Unternehmen gearbeitet hätte
      Die Gesamtvergütung im ersten Jahr lag je nach Leistung bei 250.000 bis 350.000 Dollar, plus Signing Bonus
      Auch heute bereue ich diese Entscheidung halb, wenn ich als Selbstständiger/Contractor damit kämpfe, jeden Monat Aufträge zu finden
    • Ich habe eine Zeit lang bei einem Unternehmen gearbeitet, das Dinge tat, die man als schlimmer als Google ansehen könnte
      Unabhängig von Würde oder Mut ist es schwer, den Gehaltsscheck einfach „hinzuschmeißen“, wenn man eine Familie zu ernähren hat, Hypothek, medizinische Kosten, Haustiere und Hobbys
      Arbeit ist ein großer Teil der Zeit und des Soziallebens, und die Entscheidung, Kolleginnen, Kollegen und Freunde zu verlassen, ist ebenfalls nicht leicht
      Es ist sehr unfair zu erwarten, dass Engineers für uns auf diesem Hügel sterben
      Google kann sie im Handumdrehen ersetzen, das Ergebnis wäre also nahezu null; ihnen vorzuwerfen, dass sie nicht aus Würde oder Moral ihren eigenen Lebensunterhalt und die Gesundheit ihrer Familie riskieren, wirkt für mich eher wie das Abwälzen von Verantwortung
    • Schon in diesem Thread gibt es Leute, die Google verteidigen
      Es ist nicht schwer, sich vorzustellen, dass Engineers selbst an so einer Arbeit mitwirken wollen
    • Wenn ich so ein Projekt übernehmen müsste, würde ich so tun, als wäre ich zu 150 % dafür, und es intern unterwandern und sabotieren
      Man kann sich doch vom Teufel bezahlen lassen und zugleich gegen seine Pläne kämpfen
      In der Tech-Branche gibt es so viele glänzende Dinge, dass man es wie Zufall aussehen lassen kann, wenn ein Projekt kaputtgeht
      Ein Teil von mir hofft, dass einige interne Google-Engineers genau das gerade tun
    • Wenn es damals nur die heutigen Engineers gegeben hätte, hätte es so etwas wie das offene Internet nie gegeben
      Das große Geld hat Leute zu Big Tech gezogen und dabei etwas kaputtgemacht; beim nächsten Mal sollte man vielleicht einmal zwei Züge vorausdenken
  • Der Beitrag selbst ist umsichtig und gut, aber der Titel ist dummes Clickbait.
    Wenn es keinen Plan gibt, der unabhängige Institutionen zu Attestern machen kann, ist das eine klare Bedrohung für das verbleibende offene Internet.
    Dass Google oder Apple diesen Punkt nicht ausdrücklich ansprechen, wirkt wie der größte tote Kanarienvogel in der Kohlemine.
    Private Unternehmen, die bereits Teile des Internets monopolisiert haben, wiegeln mit „Keine Sorge, wir kümmern uns darum“ ab – aber ausgerechnet sie dürfen auf keinen Fall die Attestierung übernehmen.

    • Selbst wenn es einen unvoreingenommenen und objektiven Attester gäbe, läge das Problem bei den Baseline-Bedingungen und bei der Frage, wer sie definiert.
      Es gibt zwei Gefahren: feindliche Anforderungen wie „Der Agent enthält keinen Werbeblocker“ oder „Scraping ohne ausdrückliche Website-Erlaubnis ist verboten“, und prohibitive Anforderungen wie „implementiert die Protokolle X/Y/Z und die Standards A/B/C“, die einzeln jeweils vernünftig sein mögen, zusammengenommen aber nur noch große Anbieter stemmen können.
      Außerdem müssen diese Kriterien verifizierbar sein; wenn der Nutzer den Agenten verändert, wird die Attestierung selbst damit praktisch ungültig.
    • Worin unterscheidet sich das davon, beim Betreten eines Webshops offenzulegen, wie viel ich verdiene und wie viel ich ausgeben kann?
    • Man muss sich nur dieses Szenario vorstellen: Eine Content-Website implementiert die Web Integrity API, um Bots zu blockieren, lässt aber den Google-Crawler, der ihr Traffic liefert, weiter zu.
      Dann werden Googles Konkurrenten ausgesperrt. Wie soll ein Attester dieses Problem lösen?
  • Wenn du diesen Artikel mit Chrome gelesen hast, bist du damit selbst Teil des Problems.
    Wenn Google keine nahezu monopolartige Stellung hätte, wäre so etwas Schreckliches kaum möglich.
    Für ein offenes Internet sollte man zu einem anderen Browser wechseln. Auf dem Desktop ist Firefox am besten; auch Chromium-basierte Browser können besser sein, solange es nicht Chrome ist.
    Firefox auf Android ist schwach, weil Erweiterungen sehr eingeschränkt sind, aber immer noch besser als Chrome ganz ohne Erweiterungen; unter iOS ist er nur ein Safari-Wrapper ohne Erweiterungen, aber die Synchronisierung funktioniert überall gut.

    • Stimme zu und nutze Firefox überall.
      Allerdings sollte man nicht vergessen, dass 85 % der Mozilla-Einnahmen im Jahr 2011 von Google aus dem Vertrag als Standardsuchmaschine stammten.
      Für drei Jahre wurden zeitweise rund 1 Milliarde Dollar gezahlt, und der Preis soll gestiegen sein, weil Microsoft mit Bing als Standard mitgeboten hat.
      Deshalb wirkt es jedes Mal etwas merkwürdig, wenn Mozilla Google kritisiert – als würde man die Hand beißen, die einen füttert.
      Man könnte auch Verträge mit Microsoft, Yahoo, DDG oder Baidu schließen, aber ohne Googles Interesse würden die Mittel wohl schrumpfen.
      Trotzdem ist es eine kleine Absicherung gegen die freiheitsbeschränkenden Spielchen der Tech-Giganten, dass sowohl Firefox als auch Chrome Open Source sind.
    • Auch wenn einem das egal ist: Firefox ist der schnellere Browser.
      https://news.ycombinator.com/item?id=36770883
    • Als Chrome zum ersten Mal erschien, bin ich fast sofort umgestiegen, und damals war er revolutionär.
      Aber Chrome wurde zu dominant und Google begann, in Standardisierungsgremien seine Macht zu stark auszuspielen, daher bin ich vor einigen Jahren zu Firefox zurückgekehrt.
      Wenn ich unbedingt Chromium brauche, nutze ich Edge, und ehrlich gesagt gefällt er mir ziemlich gut.
    • Auch unter Android kann man tatsächlich mehr Erweiterungen nutzen.
      Wenn man im Mozilla-Konto eine Erweiterungssammlung erstellt, kann man beliebige Erweiterungen verwenden, und viele funktionieren einfach.
    • Webstandards sind ebenfalls Teil des Problems, über den die Leute kaum nachdenken.
      Bestehende Rendering-Engines sind zusammen mit den Standards gewachsen, aber vor allem die CSS-Standards sind inzwischen so absurd komplex, dass die Implementierung einer neuen Engine nahezu unmöglich geworden ist.
      Selbst Microsoft hat aufgegeben, und Edge ist faktisch zu Chrome geworden.
      Auch wenn Chrome auf Open Source basiert, ist Googles tatsächlicher Einfluss enorm.
      Wenn Google diesen Plan ernst meint, wird es versuchen, ihn in Projekte hineinzudrücken und zu einem unverzichtbaren Bestandteil der Web-Erfahrung zu machen; außerdem ist Google ein wichtiger Geldgeber von Firefox und hat auch dort Einfluss.
  • Die neueste Antwort eines Google-Ingenieurs ist völlig realitätsfern: https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • Es ist viel zu naiv zu glauben, dass die Holdback-Funktion so implementiert wird, wie sie beschrieben ist.
      Selbst wenn sie implementiert wird, dürfte sie stillschweigend entfernt werden, sobald die Empörung abgeklungen ist.
      Und selbst wenn sie bestehen bleibt: Ist der Anteil niedrig genug, werden Nutzer, deren Attestierung fehlschlägt, mit CAPTCHAs bombardiert oder schlicht zum Gehen aufgefordert.
      Wer mit TOR im Web unterwegs ist, bekommt einen Vorgeschmack darauf, wie man behandelt wird.
      Der ganze Text lässt sich mit „Vertrau mir einfach“ zusammenfassen.
    • Dort heißt es, Datenschutzfunktionen wie User-Agent-Reduktion, IP-Reduktion, Schutz vor websiteübergreifender Speicherung und Fingerprint-Randomisierung seien gut, weil sie es erschweren, einzelne Clients zu unterscheiden oder erneut zu identifizieren, machten Betrugsbekämpfung aber schwieriger.
      Weiter heißt es, wenn man das Web ohne neue API privater mache, könnten Login-Hürden für den Zugriff auf Basisinhalte, invasiveres Fingerprinting und übermäßige Challenges wie SMS-Verifizierung oder CAPTCHA zunehmen; ich frage mich, ob es Daten gibt, die diese Behauptungen stützen.
    • „Es braucht eine größere Diskussion“ klingt eher nach „Versteh, warum ich recht habe“ und nicht nach „Das war eine schlechte Idee“.
    • „Lasst uns gemeinsam den richtigen Weg finden“ ist genau das, was die Issues erreichen wollen.
      Der aktuelle Weg ist völlig falsch und leichtsinnig, und der erste Schritt zur Zusammenarbeit besteht darin, diesen Ansatz vollständig aufzugeben.
      Es ist ungefähr so, als wollte man die Erderwärmung mit einem nuklearen Winter lösen; das ist kein Problem, das sich durch iterative Verbesserungen oder einen Mittelweg lösen lässt.
      Die Prämisse dieses Vorschlags ist an sich gefährlich und sollte verworfen werden.
      Man muss sich nur die vielen Arten vorstellen, auf die er missbraucht werden kann – und selbstverständlich missbraucht werden wird.
      Ich schreibe das hier, weil die GitHub-Kommentare gesperrt wurden.
    • Mir gefällt, dass er sein GitHub-Profilbild in eine gelbe Ente geändert hat.
      Wenn ich für den Teufel arbeiten würde und das wüsste, hätte ich das auch getan.
  • Leider werden wir das alles bereitwillig akzeptieren
    Weil Chrome „bequem“ ist
    Menschen akzeptieren alles für Bequemlichkeit, und WhatsApp ist ein gutes Beispiel. Weltweit teilen und synchronisieren Millionen von Menschen bereitwillig ihr komplettes Telefonbuch mit Facebook/Meta
    Wenn einem das wichtig ist, sollte man Chrome nicht nutzen. Wer diesen bösartigen Schritt kritisiert und trotzdem weiter Chrome nutzt, ist Teil des Problems

    • Ich bin bei Mobile-/Desktop-OS, Browsern, fast jeder Software und sogar Cloud-Dateispeichern auf eine vollständig Open-Source-Umgebung umgestiegen
      Nur Google Search nutze ich noch als Ausnahme
      Mit dem Fortschritt großer Sprachmodelle könnte ich vielleicht eines Tages ein eigenes LLM betreiben und mich vollständig von der Abhängigkeit von Monopolunternehmen lösen
    • WhatsApp und Chrome sind nicht dasselbe
      Wenn man WhatsApp nicht nutzt, entstehen besonders in Ländern wie Deutschland oder Indien, wo es fast alle verwenden, soziale Kosten: Man kann nicht mit anderen Nutzern kommunizieren oder an Gruppenchats teilnehmen
      Die Kosten, Chrome nicht zu nutzen, gehen gegen null. Man verwendet dieselben Websites, nur eben mit Firefox
    • Ich hätte gern erklärt, welche schrecklichen Folgen es hat, wenn ich mein Telefonbuch mit Meta teile
  • Ist die werbefinanzierte Webindustrie nicht wirklich verzweifelt darauf aus, Menschen und Bots zu authentifizieren?

    • In Wirklichkeit authentifiziert sie keine Menschen, sondern zugelassene Software und Hardware
      Es gibt keinen Grund, warum man Bots nicht mit Videofeed und Eingabegeräten an ein „nachweisbares“ Gerät anschließen und sie so das Internet nutzen lassen könnte
      Das hebt nur die Messlatte für die Raffinesse von Bots
      In einem anderen Thread war sogar davon die Rede, eine Kamera auf ein Smartphone zu richten und es mit einem Roboter-„Finger“ zu bedienen
      Mit WEI könnte es sogar einfacher werden, weil kein CAPTCHA erscheint. Schließlich würde es ohnehin wie ein „Mensch“ aussehen
    • Sie wollen nur, dass wir das glauben
      Bot-Klicks sind auch Klicks und können abgerechnet werden
      Ich habe einmal gelesen, dass 80–90 % der Klicks auf Facebook-Anzeigen von Bots stammten, und das passt auch zu dem Traffic kommerzieller Websites, mit dem ich zu tun habe
      Der meiste Traffic kommt von Bots, Crawlern, Scannern und „Sicherheitsforschern“
      Gelegentlich sieht man auch echten Betrug, etwa Affiliate-Marketing-Traffic-Booster, die 200-mal am Tag auf Banner klicken, Bestellungen auslösen und dann nicht bezahlen; aber solange die Statistiken gut aussehen, interessiert das niemanden
  • Google ist nicht vertrauenswürdig genug, um Werbung anzuvertrauen
    Allein heute habe ich drei Anzeigen aus Hongkong gesehen, die sich als Macy’s und Bed Bath & Beyond ausgaben, und auf YouTube sind die gefälschten Mr-Beast-Anzeigen wieder da
    Von den fast schon pornografischen Anzeigen für Queen's Blade will ich gar nicht erst anfangen

    • YouTube zeigt auch Anzeigen für Anlageberatungsbetrug
      Ich weiß nicht, wie das als in Ordnung gelten kann und wie Google es rechtfertigen will, Adblocker zu blockieren
      Ich sehe Adblocker als eine wichtigere Sicherheitsbarriere als Impfstoffe, und das ist für mich seit fast zehn Jahren so
  • Ich habe meinen Teil getan und zeige auf meiner Website den Hinweis „In Chrome nicht verfügbar. Verwenden Sie einen moderneren, offeneren Browser …“ samt Erklärung an
    Wenn die meisten von uns Entwicklern das tun, hat diese Änderung keine Chance
    Noch besser wäre es, wenn jemand eine JS-Datei erstellt, die andere einfach einbinden können, damit ein erzwungenes Blockier-Popup zeigt, wie das Web der Zukunft aussehen wird
    Gut wären auch eine gute Erklärung und Links zu relevanten Videos