2 Punkte von GN⁺ 2023-07-30 | 1 Kommentare | Auf WhatsApp teilen
  • Die Free Software Foundation sieht in Googles Web Environment Integrity (WEI) eine Bedrohung für die Freiheit der Nutzer, mit dem Browser und Betriebssystem ihrer Wahl auf das Web zuzugreifen
  • WEI ist eine API, die Websites vor dem Ausliefern einer Seite einen Drittanbieter-Verifizierungsdienst prüfen lässt, ob die Browsing-Umgebung „manipuliert“ wurde
  • Die FSF befürchtet, dass diese Verifizierung so umgesetzt wird, dass nur von Google anerkannte Browser-Konfigurationen zugelassen werden und Nutzern freier Browser und freier Betriebssysteme der Zugang verwehrt werden kann
  • Das tatsächliche Missbrauchspotenzial sei größer als die nominellen Anwendungsfälle im Policy-Dokument; WEI könne zur Erzwingung genehmigter Browser, zur Stärkung von DRM und zur Einschränkung des Zugangs zu Google-Diensten genutzt werden
  • Die FSF erklärt, WEI habe keine legitime Grundlage, und fordert Google auf, die Standardisierungsarbeit an einem Vorhaben, das mit einem freien Internet kaum vereinbar sei, sofort einzustellen

Warum WEI mit dem freien Internet kollidiert

  • Die FSF hält die Nutzung freier Browser für wichtiger denn je und kritisiert Googles Web Environment Integrity als eines der bislang schlimmsten Beispiele für Googles jüngstes Vorgehen
  • WEI begann mit einem Policy-Dokument, das zuerst auf Microsoft GitHub erschien; inzwischen setzt Google die Entwicklung zügig im Chromium browser um
  • Diese API ermöglicht Entwicklern, bestimmte Browser-Konfigurationen zuzulassen und andere zu sperren
  • Nach Ansicht der FSF steht ein solcher Ansatz in direktem Widerspruch zur bisherigen Vorstellung des Internets, wonach verlinkte Seiten von einer Vielzahl von Geräten, Programmen und Betriebssystemen aus erreichbar sein sollten
  • WEI komme eher DRM gleich, das das Web insgesamt geschlossener mache, und werde als großer Schritt in Richtung der „Enshittification“ des Webs bewertet

Funktionsweise und erwarteter Missbrauch

  • Bei WEI fordert der Server vor dem Ausliefern einer Webseite einen Drittanbieter-„Verifizierungs“-Dienst auf zu bestätigen, dass die Browsing-Umgebung des Nutzers nicht „manipuliert“ wurde
  • Die FSF geht davon aus, dass dieser Verifizierungsserver Google gehören könnte und dass der Browser dann darauf geprüft würde, ob er auch nur minimal von einer von Google akzeptierten Konfiguration abweicht
  • Dadurch werde es für Nutzer schwierig, die four freedoms in sinnvoller Weise auszuüben, und mit freien Browsern oder freien Betriebssystemen könne auf manchen Websites die Auslieferung von Seiten verweigert werden
  • Als größeres Problem als die im Policy-Dokument angeführten legitimen Anwendungsfälle gilt das tatsächliche Einsatzpotenzial
    • Regierungen könnten es verwenden, um den Internetzugang nur mit offiziell „genehmigten“ Browsern zu erlauben
    • Unternehmen wie Netflix könnten es zur Verschärfung von Digital Restrictions Management (DRM) einsetzen
    • Google könnte damit den Zugang zu Google-Diensten verweigern, wenn kein Browser verwendet wird, der den eigenen Interessen entspricht
  • Die FSF ist der Ansicht, für WEI gebe es „überhaupt keine legitime Grundlage“, und kritisiert, sein tatsächlicher Kernzweck bestehe darin, das freie Internet einzuschränken
  • Googles Entscheidungsträger sollten die Gründungsprinzipien des Webs berücksichtigen, anerkennen, dass WEI mit einem freien Internet grundsätzlich unvereinbar ist, und die Standardisierungsarbeit sofort einstellen

1 Kommentare

 
GN⁺ 2023-07-30
Hacker-News-Kommentare
  • Verwandte Beiträge. Wenn es noch weitere gibt, wäre ein Hinweis gut
    Googles Browser-Sicherheitsplan wird als gefährlich, schrecklich und als DRM für Websites kritisiert - https://news.ycombinator.com/item?id=36893071 - Juli 2023 (63 Kommentare)
    Google Web Environment Integrity ist das neue Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - Juli 2023 (282 Kommentare)
    Google-Mitarbeiter antwortet auf negatives Feedback zu WEI - https://news.ycombinator.com/item?id=36881506 - Juli 2023 (25 Kommentare)
    Google drückt WEI bereits in Chromium hinein - https://news.ycombinator.com/item?id=36876301 - Juli 2023 (832 Kommentare)
    Googles Web-Environment-Integrity-Spezifikation unter die Lupe genommen - https://news.ycombinator.com/item?id=36875940 - Juli 2023 (431 Kommentare)
    Google-Ingenieure wollen Ad-Blocking nahezu unmöglich machen - https://news.ycombinator.com/item?id=36875226 - Juli 2023 (468 Kommentare)
    Google gegen das offene Web - https://news.ycombinator.com/item?id=36875164 - Juli 2023 (191 Kommentare)
    Apple hat Attestation im Web bereits eingeführt, und wir haben es kaum bemerkt - https://news.ycombinator.com/item?id=36862494 - Juli 2023 (421 Kommentare)
    Googles albtraumhafte „Web Integrity API“ will einen DRM-Torwächter für das Web - https://news.ycombinator.com/item?id=36854114 - Juli 2023 (456 Kommentare)
    Vorschlag für die Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - Juli 2023 (441 Kommentare)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Juli 2023 (2 Kommentare)
    Erklärung zu Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - Juli 2023 (45 Kommentare)
    Google-Chrome-Vorschlag – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Juli 2023 (93 Kommentare)
    Web Environment Integrity – Google will den Browser abschotten - https://news.ycombinator.com/item?id=35864471 - Mai 2023 (1 Kommentar)

  • Ich verstehe nicht, warum man Google diesen Unsinn einfach durchgehen lässt. Erst war es die toast component, dann das Entfernen von Benachrichtigungen, Manifest V3, FLoC, und jetzt das hier
    Unternehmen werden sich wie Unternehmen verhalten, aber welche Wahl bleibt Nutzern und künftigen Nutzern? Also Menschen, denen das jetzt egal ist, die aber vielleicht die heutige Form des Internets nützlich finden könnten
    Es ist mir egal, wenn Google seine eigenen Produkte hinter einer Mauer versteckt, die nur mit einem nicht modifizierbaren proprietären Browser zugänglich ist, aber sie sollen das bitte nicht überall verbreiten. Wir „genießen“ immer noch reCAPTCHA, das nirgends zuverlässig lösbar ist

    • Mit CAPTCHA habe ich große Probleme. Im Grunde trainiert man damit kostenlos Googles Bilderkennungs-Engine
    • Liegt es nicht daran, dass man Apple damit einfach hat durchkommen lassen?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • Gibt es einen Link zur toast component?
    • Du sagst „reCAPTCHA, das nirgends zuverlässig lösbar ist“, aber so etwas sehe ich kaum
      Das ist Teil einer Challenge-Response-Prüfung, die erscheint, wenn der Server den Traffic für verdächtig hält. Meist lässt sie sich vermeiden, indem man eingeloggt bleibt, Cookies nicht blockiert und weder Tor noch andere Mittel zur Verschleierung des Zugriffswegs nutzt
  • Allerdings scheint seit 2022 eine sehr ähnliche API in Safari implementiert zu sein. Gutes Marketing scheint große Wirkung zu haben. Darüber habe ich kaum Diskussionen gesehen.
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    Interessant ist folgender Punkt: „Wir brauchen oder wollen die dabei erfassten zugrunde liegenden Daten eigentlich nicht; wir wollen nur feststellen, ob ein Besucher sein Gerät oder seinen User-Agent vortäuscht.“
    Im Beispiel öffnet ein Besucher auf einem iPhone Safari und versucht, example.com aufzurufen. Cloudflare fordert vom Browser ein Token an, und da Safari PAT unterstützt, bittet es per API-Aufruf den Apple Attester um eine Attestierung.
    Der Apple Attester prüft mehrere Gerätekomponenten, validiert sie und macht anschließend einen API-Aufruf an den Cloudflare Issuer. Der Cloudflare Issuer erstellt ein Token und sendet es an den Browser, der es an den Ursprungsserver weitergibt.
    Cloudflare nimmt dieses Token entgegen und entscheidet, dass diesem Nutzer kein CAPTCHA angezeigt werden muss. Für mich klingt das WAI sehr ähnlich, aber da der Name „Privacy Access Tokens“ lautet, ist es sicher etwas Gutes ...?
    Edit: Vor ein paar Tagen gab es einen HN-Thread, den ich verpasst hatte: https://news.ycombinator.com/item?id=36862494

    • Googles PR-Strategie läuft darauf hinaus zu sagen: „Kein Grund zur Sorge, es ist ähnlich wie das, was Apple macht.“ Aber wie Google selbst in seinem Erklärdokument¹ schreibt, sind die beiden ziemlich unterschiedlich, und Google hält PAT für unzureichend für die Durchsetzung, die sie im Sinn haben.
      PAT weist zum Beispiel letztlich nur nach, dass man „kein Bot“ ist, und benötigt daher keinen Austausch von Geräte- und Browser-Umgebungsdaten. WEI hingegen braucht diese Daten, um Anwendungsfälle wie das DRM fürs Web, über das wir hier lesen, zu ermöglichen.
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • Was bedeutet „feststellen, ob ein Besucher sein Gerät oder seinen User-Agent vortäuscht“? Vermutlich ist gemeint, dass ein Gerät oder User-Agent behauptet, etwas Bestimmtes zu sein, in Wirklichkeit aber etwas anderes ist.
      Aber Browser lügen seit Jahrzehnten darüber, wer sie sind. Und worin besteht der Unterschied zwischen einem gefälschten Gerät/User-Agent und einem ungewöhnlichen Gerät/User-Agent? Aus ihrer Sicht vermutlich in keinem.
    • Ich habe das letztes Jahr im ursprünglichen Cloudflare-Artikel gelesen. Cloudflare ist ein beliebtes Unternehmen, aber ich hielt das für gefährlich für das Web.
    • Ich denke, der Unterschied ist, dass PAT Werbeblocker zulässt, WEI das aber nicht tun wird.
  • Deshalb habe ich angefangen, mir gopher anzusehen. Gerade habe ich auch gemini entdeckt, was für mich vielleicht noch interessanter sein könnte.
    Unternehmen sehen Apples Erfolg und tun alles, was sie können, um Walled Gardens zu bauen. Und in geringerem Ausmaß scheinen Unternehmen inzwischen auch die Entwicklungsrichtung von Linux zu beeinflussen.
    Ich frage mich, wann vollständig integriertes DRM kommt, das Streaming-Sites verifiziert.
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • Wir sollten uns dem frontal entgegenstellen, statt immer obskurere Umwege zu suchen. Ich glaube, eines Tages könnte es so weit kommen, dass man sich nicht einmal mehr mit einem Internetanbieter verbinden kann, wenn das Gerät die Attestierung nicht besteht.
      Schon als APIs wie Android SafetyNet erstmals auftauchten, lautete die Verteidigung: „Wenn man die App nicht nutzen kann, nimmt man eben die Website im Browser.“ Unternehmen werden nicht aufhören, bis sie jede Schicht des Stacks absolut kontrollieren.
    • Ich bin für Alternativen zu HTTP, aber mit diesem Problem hat das wenig zu tun. Wenn eine Site nicht von WEI betroffen sein will, kann sie einfach die WEI API nicht verwenden.
      Und etwas wie WEI könnte auf solchen Protokollen genauso gut implementiert werden wie auf HTTP. Das sind völlig getrennte Konzepte.
  • Wenn ich so etwas lese, werde ich unglaublich zynisch. Erst denke ich: „Auf keinen Fall, nicht vor meinen Augen!“, und dann merke ich, dass ich im Grunde nur eine Petition unterschreiben oder einem Politiker, der keine Ahnung hat, was das bedeutet, eine E-Mail schreiben kann.
    Aus demselben Grund ist es auch meinem Gen-Z-Bruder und den TikTokern in seinem Alter egal. Die Leute kümmern sich nicht darum. Sie haben größere Probleme, etwa womit sie morgen die Miete bezahlen sollen, und unterhaltsamere Spektakel, etwa jemandem fünf Stunden lang dabei zuzusehen, wie er einen NPC spielt, und ihm dafür Geld zu geben.
    Viele Leute, mit denen ich gearbeitet habe, waren ähnlich. Sie sind daran gewöhnt, zu merken, dass sie gründlich über den Tisch gezogen werden, und süchtig nach Beschwerden, aber nur innerhalb einer sehr engen Gruppe mit gemeinsamen Interessen.
    Das ist die entmutigendste Revolution. DNS, JavaScript-Chaos, Netzneutralität, die Browser-Welt – ständig brennt irgendwo etwas, aber nichts wird erreicht, Verantwortung wird immer weitergeschoben, und später erinnert man sich in einem anderen Thread wieder an die gute alte Zeit.
    Aber was kann ich am Ende schon tun? Soll ich PRs ablehnen?

    • Ich verstehe nicht, warum in solchen Threads immer wieder diese negative Aussage auftaucht, „die Leute kümmern sich nicht darum“. Es muss nicht jeder Mensch auf der Straße sich darum kümmern.
      Es reicht, wenn genügend einflussreiche Leute in der Branche und im Regulierungsumfeld sich darum kümmern. Und genau das passiert. Alle sind wütend darüber, empfehlen Beiträge dazu, und Unternehmen und Organisationen schreiben darüber.
      Man muss genau damit weitermachen und andere Unternehmen dazu drängen, es abzulehnen, oder Druck aufbauen, damit es regulatorisch verhindert wird. Was Google am meisten fürchtet, ist Zerschlagung. Wenn sie das durchdrücken, kann man Abgeordnete organisiert kontaktieren, Bedenken vorbringen und Regulierung oder eine Zerschlagung wegen Googles wettbewerbswidrigem Verhalten fordern.
    • Dass es bereits ziemlich viel öffentliche Diskussion und Gegenwind gab, ist eher ermutigend. Man sollte bedenken, dass dieses Thema erst seit ungefähr einer Woche richtig auf dem Tisch liegt. Man gewinnt so etwas nicht über Nacht.
      Die Leute kümmern sich darum. Aber um öffentlichen Druck aufzubauen, gibt es Schritte: Die Öffentlichkeit muss von dem Problem erfahren, die technischen Aspekte lernen und verstehen, und der Widerstand muss organisiert werden. Das ist nicht unbedingt ein schneller Prozess.
    • Schreib nicht an Politiker, sondern besser an die zuständige Wettbewerbsbehörde. Die jüngste Diskussion[1] ist ein Beispiel dafür.
      [1] https://news.ycombinator.com/item?id=36877310
    • Es gibt Dinge, die man tun kann. Ein Power-User von Privacy-Tools zu werden, hilft dabei, die Landschaft zu verändern, in der Menschen Technik nutzen und mit ihr interagieren.
      Wenn der Hauptzweck darin besteht, Adblocking zu verhindern, frage ich mich, ob mein Pinhole-DNS-Blocker betroffen sein wird. Wenn der neue Standard alle zu DNS-Blockern treibt, könnte die Gesamtlage besser werden, auch wenn Nutzer dafür einen kleinen Preis zahlen müssen.
      Solange man glaubt, das System sei frei und offen, und keinen Bedarf verspürt, werden Privacy-Tools kaum angenommen oder unterstützt. Bis sich die Grenzen verschieben, gelten alle als Leute mit Aluhut.
      Die Menschen müssten Dinge wie den Schutz persönlicher Daten und Kontrolle über Dienste insgesamt besser verstehen, aber sie bleiben träge, bis es keine anderen Optionen mehr gibt und sie die Kontrolle zurückholen müssen.
    • Ich verstehe, dass du wütend bist. Erst einmal: Ich kann das nachvollziehen. Allerdings führt der Druck der Situation dazu, dass man die Verantwortung Leuten zuschiebt, die genau nicht diejenigen sind, die das tatsächlich tun.
      Nutzer von Unterhaltungselektronik sind nicht die Menschen, die über Inhalte „abstimmen“. Geschlossene Computersysteme, die hierarchisch, privat und durch interne Entscheidungen gesteuert sind, erreichen gerade ihre Entscheidungspunkte.
  • Ich bin froh, dass es Leute gibt, die Wert darauf legen, so etwas zu wissen. Wenn ich versuche, es zu verbreiten, stoße ich meist auf Unwissen.
    Das ist nicht nur eine Google-Sache. Sie scheinen nur die Ersten sein zu wollen.
    Die „Verschwörungstheorie“, die ich digitale Abriegelung nenne, ist genau das. Es ist ein weiterer Schritt in diese Richtung, und wenn man sieht, was das bewirkt, kommen wir dem Ziel viel zu nahe.

  • Sie tun so, als würde es irgendwie sicherer, wenn man überprüft, ob wir alle einen Google-Browser benutzen. Als wären deren Entwickler perfekt.
    Diese Arroganz von Big Tech ist erstaunlich und nervig.

  • „Sie können unsere Website besuchen. Bitte zeigen Sie zuerst Ihre digitalen Handschellen vor.“

  • Kann mir das jemand erklären, als wäre ich fünf? Was passiert hier? Hört Firefox auf, auf den meisten Websites zu funktionieren? Funktioniert uBlock nicht mehr? Muss ich vor dem Zugriff auf Websites im World Wide Web einen Netzhautscan schicken?
    Na ja, früher haben wir auch ohne Internet gelebt. Ich habe Microsoft Flight Simulator von Disketten installiert. Diesmal werden es eben ein paar Disketten mehr. Keine große Sache.

    • Das Endziel ist wahrscheinlich, dass Google und ein paar Unternehmen kontrollieren, welchen Webbrowser man für den Zugriff auf den Großteil des Webs verwenden darf. Mozilla könnte mitziehen oder auch nicht, aber bei EME haben sie es getan.
      Linux könnte, abgesehen vielleicht von Ubuntu- und Red-Hat-Builds, nicht funktionieren. Und selbst das erst, nachdem Unterstützung hinzugefügt wurde. Es braucht eine lange Verifizierungskette über Browser, Betriebssystem, Kernel, Boot-Umgebung und TPM hinweg, und es kann lange dauern, Google davon zu überzeugen, dass diese Kette nicht so schwach ist, dass sie gehackt werden kann.
      Adblocker werden irgendwann ausgeschlossen. Und wir können auch nicht einfach in die Zeit zurück, in der man Flight Simulator von Disketten gespielt hat. Banken, Flugtickets und Konzertkarten, sogar der Kinderarzt deines Kindes werden das verlangen.
      Nicht weil Ärzte eifrig neue Web-Spezifikationen lesen, sondern weil sie medizinische Service-Plattformen nutzen werden, die sich auf Cloudflare-Defaults verlassen, die Sicherheitsleute mögen, weil sie Bots und DDoS reduzieren.
      Am Ende nutzt man ein eingezäuntes Betriebssystem, das einen wie Kabelfernsehen ständig überwacht und mit Werbung bespielt. Ein großer Aufschrei könnte Google dazu bringen, etwas zurückzurudern oder Versprechen zu machen, die sie nicht halten können und nicht halten werden.
      Die echte Lösung besteht nur darin, den Staat zu nutzen, um zu verhindern, dass Nutzer die Kontrolle verlieren.
  • Genau! Lasst uns alle Chromium-basierte Browser verwenden!
    Was könnte schon schiefgehen?

    • Ob Minderheiten-Browser Chromium-basiert sind, macht für diese Katastrophe meiner Ansicht nach in keine der beiden Richtungen einen großen Unterschied. Das Problem ist das faktische Monopol von Chrome.