- Die Free Software Foundation sieht in Googles Web Environment Integrity (WEI) eine Bedrohung für die Freiheit der Nutzer, mit dem Browser und Betriebssystem ihrer Wahl auf das Web zuzugreifen
- WEI ist eine API, die Websites vor dem Ausliefern einer Seite einen Drittanbieter-Verifizierungsdienst prüfen lässt, ob die Browsing-Umgebung „manipuliert“ wurde
- Die FSF befürchtet, dass diese Verifizierung so umgesetzt wird, dass nur von Google anerkannte Browser-Konfigurationen zugelassen werden und Nutzern freier Browser und freier Betriebssysteme der Zugang verwehrt werden kann
- Das tatsächliche Missbrauchspotenzial sei größer als die nominellen Anwendungsfälle im Policy-Dokument; WEI könne zur Erzwingung genehmigter Browser, zur Stärkung von DRM und zur Einschränkung des Zugangs zu Google-Diensten genutzt werden
- Die FSF erklärt, WEI habe keine legitime Grundlage, und fordert Google auf, die Standardisierungsarbeit an einem Vorhaben, das mit einem freien Internet kaum vereinbar sei, sofort einzustellen
Warum WEI mit dem freien Internet kollidiert
- Die FSF hält die Nutzung freier Browser für wichtiger denn je und kritisiert Googles Web Environment Integrity als eines der bislang schlimmsten Beispiele für Googles jüngstes Vorgehen
- WEI begann mit einem Policy-Dokument, das zuerst auf Microsoft GitHub erschien; inzwischen setzt Google die Entwicklung zügig im Chromium browser um
- Diese API ermöglicht Entwicklern, bestimmte Browser-Konfigurationen zuzulassen und andere zu sperren
- Nach Ansicht der FSF steht ein solcher Ansatz in direktem Widerspruch zur bisherigen Vorstellung des Internets, wonach verlinkte Seiten von einer Vielzahl von Geräten, Programmen und Betriebssystemen aus erreichbar sein sollten
- WEI komme eher DRM gleich, das das Web insgesamt geschlossener mache, und werde als großer Schritt in Richtung der „Enshittification“ des Webs bewertet
Funktionsweise und erwarteter Missbrauch
- Bei WEI fordert der Server vor dem Ausliefern einer Webseite einen Drittanbieter-„Verifizierungs“-Dienst auf zu bestätigen, dass die Browsing-Umgebung des Nutzers nicht „manipuliert“ wurde
- Die FSF geht davon aus, dass dieser Verifizierungsserver Google gehören könnte und dass der Browser dann darauf geprüft würde, ob er auch nur minimal von einer von Google akzeptierten Konfiguration abweicht
- Dadurch werde es für Nutzer schwierig, die four freedoms in sinnvoller Weise auszuüben, und mit freien Browsern oder freien Betriebssystemen könne auf manchen Websites die Auslieferung von Seiten verweigert werden
- Als größeres Problem als die im Policy-Dokument angeführten legitimen Anwendungsfälle gilt das tatsächliche Einsatzpotenzial
- Regierungen könnten es verwenden, um den Internetzugang nur mit offiziell „genehmigten“ Browsern zu erlauben
- Unternehmen wie Netflix könnten es zur Verschärfung von Digital Restrictions Management (DRM) einsetzen
- Google könnte damit den Zugang zu Google-Diensten verweigern, wenn kein Browser verwendet wird, der den eigenen Interessen entspricht
- Die FSF ist der Ansicht, für WEI gebe es „überhaupt keine legitime Grundlage“, und kritisiert, sein tatsächlicher Kernzweck bestehe darin, das freie Internet einzuschränken
- Googles Entscheidungsträger sollten die Gründungsprinzipien des Webs berücksichtigen, anerkennen, dass WEI mit einem freien Internet grundsätzlich unvereinbar ist, und die Standardisierungsarbeit sofort einstellen
1 Kommentare
Hacker-News-Kommentare
Verwandte Beiträge. Wenn es noch weitere gibt, wäre ein Hinweis gut
Googles Browser-Sicherheitsplan wird als gefährlich, schrecklich und als DRM für Websites kritisiert - https://news.ycombinator.com/item?id=36893071 - Juli 2023 (63 Kommentare)
Google Web Environment Integrity ist das neue Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - Juli 2023 (282 Kommentare)
Google-Mitarbeiter antwortet auf negatives Feedback zu WEI - https://news.ycombinator.com/item?id=36881506 - Juli 2023 (25 Kommentare)
Google drückt WEI bereits in Chromium hinein - https://news.ycombinator.com/item?id=36876301 - Juli 2023 (832 Kommentare)
Googles Web-Environment-Integrity-Spezifikation unter die Lupe genommen - https://news.ycombinator.com/item?id=36875940 - Juli 2023 (431 Kommentare)
Google-Ingenieure wollen Ad-Blocking nahezu unmöglich machen - https://news.ycombinator.com/item?id=36875226 - Juli 2023 (468 Kommentare)
Google gegen das offene Web - https://news.ycombinator.com/item?id=36875164 - Juli 2023 (191 Kommentare)
Apple hat Attestation im Web bereits eingeführt, und wir haben es kaum bemerkt - https://news.ycombinator.com/item?id=36862494 - Juli 2023 (421 Kommentare)
Googles albtraumhafte „Web Integrity API“ will einen DRM-Torwächter für das Web - https://news.ycombinator.com/item?id=36854114 - Juli 2023 (456 Kommentare)
Vorschlag für die Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - Juli 2023 (441 Kommentare)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - Juli 2023 (2 Kommentare)
Erklärung zu Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - Juli 2023 (45 Kommentare)
Google-Chrome-Vorschlag – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - Juli 2023 (93 Kommentare)
Web Environment Integrity – Google will den Browser abschotten - https://news.ycombinator.com/item?id=35864471 - Mai 2023 (1 Kommentar)
Ich verstehe nicht, warum man Google diesen Unsinn einfach durchgehen lässt. Erst war es die toast component, dann das Entfernen von Benachrichtigungen, Manifest V3, FLoC, und jetzt das hier
Unternehmen werden sich wie Unternehmen verhalten, aber welche Wahl bleibt Nutzern und künftigen Nutzern? Also Menschen, denen das jetzt egal ist, die aber vielleicht die heutige Form des Internets nützlich finden könnten
Es ist mir egal, wenn Google seine eigenen Produkte hinter einer Mauer versteckt, die nur mit einem nicht modifizierbaren proprietären Browser zugänglich ist, aber sie sollen das bitte nicht überall verbreiten. Wir „genießen“ immer noch reCAPTCHA, das nirgends zuverlässig lösbar ist
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Das ist Teil einer Challenge-Response-Prüfung, die erscheint, wenn der Server den Traffic für verdächtig hält. Meist lässt sie sich vermeiden, indem man eingeloggt bleibt, Cookies nicht blockiert und weder Tor noch andere Mittel zur Verschleierung des Zugriffswegs nutzt
Allerdings scheint seit 2022 eine sehr ähnliche API in Safari implementiert zu sein. Gutes Marketing scheint große Wirkung zu haben. Darüber habe ich kaum Diskussionen gesehen.
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
Interessant ist folgender Punkt: „Wir brauchen oder wollen die dabei erfassten zugrunde liegenden Daten eigentlich nicht; wir wollen nur feststellen, ob ein Besucher sein Gerät oder seinen User-Agent vortäuscht.“
Im Beispiel öffnet ein Besucher auf einem iPhone Safari und versucht, example.com aufzurufen. Cloudflare fordert vom Browser ein Token an, und da Safari PAT unterstützt, bittet es per API-Aufruf den Apple Attester um eine Attestierung.
Der Apple Attester prüft mehrere Gerätekomponenten, validiert sie und macht anschließend einen API-Aufruf an den Cloudflare Issuer. Der Cloudflare Issuer erstellt ein Token und sendet es an den Browser, der es an den Ursprungsserver weitergibt.
Cloudflare nimmt dieses Token entgegen und entscheidet, dass diesem Nutzer kein CAPTCHA angezeigt werden muss. Für mich klingt das WAI sehr ähnlich, aber da der Name „Privacy Access Tokens“ lautet, ist es sicher etwas Gutes ...?
Edit: Vor ein paar Tagen gab es einen HN-Thread, den ich verpasst hatte: https://news.ycombinator.com/item?id=36862494
PAT weist zum Beispiel letztlich nur nach, dass man „kein Bot“ ist, und benötigt daher keinen Austausch von Geräte- und Browser-Umgebungsdaten. WEI hingegen braucht diese Daten, um Anwendungsfälle wie das DRM fürs Web, über das wir hier lesen, zu ermöglichen.
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Aber Browser lügen seit Jahrzehnten darüber, wer sie sind. Und worin besteht der Unterschied zwischen einem gefälschten Gerät/User-Agent und einem ungewöhnlichen Gerät/User-Agent? Aus ihrer Sicht vermutlich in keinem.
Deshalb habe ich angefangen, mir gopher anzusehen. Gerade habe ich auch gemini entdeckt, was für mich vielleicht noch interessanter sein könnte.
Unternehmen sehen Apples Erfolg und tun alles, was sie können, um Walled Gardens zu bauen. Und in geringerem Ausmaß scheinen Unternehmen inzwischen auch die Entwicklungsrichtung von Linux zu beeinflussen.
Ich frage mich, wann vollständig integriertes DRM kommt, das Streaming-Sites verifiziert.
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
Schon als APIs wie Android SafetyNet erstmals auftauchten, lautete die Verteidigung: „Wenn man die App nicht nutzen kann, nimmt man eben die Website im Browser.“ Unternehmen werden nicht aufhören, bis sie jede Schicht des Stacks absolut kontrollieren.
Und etwas wie WEI könnte auf solchen Protokollen genauso gut implementiert werden wie auf HTTP. Das sind völlig getrennte Konzepte.
Wenn ich so etwas lese, werde ich unglaublich zynisch. Erst denke ich: „Auf keinen Fall, nicht vor meinen Augen!“, und dann merke ich, dass ich im Grunde nur eine Petition unterschreiben oder einem Politiker, der keine Ahnung hat, was das bedeutet, eine E-Mail schreiben kann.
Aus demselben Grund ist es auch meinem Gen-Z-Bruder und den TikTokern in seinem Alter egal. Die Leute kümmern sich nicht darum. Sie haben größere Probleme, etwa womit sie morgen die Miete bezahlen sollen, und unterhaltsamere Spektakel, etwa jemandem fünf Stunden lang dabei zuzusehen, wie er einen NPC spielt, und ihm dafür Geld zu geben.
Viele Leute, mit denen ich gearbeitet habe, waren ähnlich. Sie sind daran gewöhnt, zu merken, dass sie gründlich über den Tisch gezogen werden, und süchtig nach Beschwerden, aber nur innerhalb einer sehr engen Gruppe mit gemeinsamen Interessen.
Das ist die entmutigendste Revolution. DNS, JavaScript-Chaos, Netzneutralität, die Browser-Welt – ständig brennt irgendwo etwas, aber nichts wird erreicht, Verantwortung wird immer weitergeschoben, und später erinnert man sich in einem anderen Thread wieder an die gute alte Zeit.
Aber was kann ich am Ende schon tun? Soll ich PRs ablehnen?
Es reicht, wenn genügend einflussreiche Leute in der Branche und im Regulierungsumfeld sich darum kümmern. Und genau das passiert. Alle sind wütend darüber, empfehlen Beiträge dazu, und Unternehmen und Organisationen schreiben darüber.
Man muss genau damit weitermachen und andere Unternehmen dazu drängen, es abzulehnen, oder Druck aufbauen, damit es regulatorisch verhindert wird. Was Google am meisten fürchtet, ist Zerschlagung. Wenn sie das durchdrücken, kann man Abgeordnete organisiert kontaktieren, Bedenken vorbringen und Regulierung oder eine Zerschlagung wegen Googles wettbewerbswidrigem Verhalten fordern.
Die Leute kümmern sich darum. Aber um öffentlichen Druck aufzubauen, gibt es Schritte: Die Öffentlichkeit muss von dem Problem erfahren, die technischen Aspekte lernen und verstehen, und der Widerstand muss organisiert werden. Das ist nicht unbedingt ein schneller Prozess.
[1] https://news.ycombinator.com/item?id=36877310
Wenn der Hauptzweck darin besteht, Adblocking zu verhindern, frage ich mich, ob mein Pinhole-DNS-Blocker betroffen sein wird. Wenn der neue Standard alle zu DNS-Blockern treibt, könnte die Gesamtlage besser werden, auch wenn Nutzer dafür einen kleinen Preis zahlen müssen.
Solange man glaubt, das System sei frei und offen, und keinen Bedarf verspürt, werden Privacy-Tools kaum angenommen oder unterstützt. Bis sich die Grenzen verschieben, gelten alle als Leute mit Aluhut.
Die Menschen müssten Dinge wie den Schutz persönlicher Daten und Kontrolle über Dienste insgesamt besser verstehen, aber sie bleiben träge, bis es keine anderen Optionen mehr gibt und sie die Kontrolle zurückholen müssen.
Nutzer von Unterhaltungselektronik sind nicht die Menschen, die über Inhalte „abstimmen“. Geschlossene Computersysteme, die hierarchisch, privat und durch interne Entscheidungen gesteuert sind, erreichen gerade ihre Entscheidungspunkte.
Ich bin froh, dass es Leute gibt, die Wert darauf legen, so etwas zu wissen. Wenn ich versuche, es zu verbreiten, stoße ich meist auf Unwissen.
Das ist nicht nur eine Google-Sache. Sie scheinen nur die Ersten sein zu wollen.
Die „Verschwörungstheorie“, die ich digitale Abriegelung nenne, ist genau das. Es ist ein weiterer Schritt in diese Richtung, und wenn man sieht, was das bewirkt, kommen wir dem Ziel viel zu nahe.
Sie tun so, als würde es irgendwie sicherer, wenn man überprüft, ob wir alle einen Google-Browser benutzen. Als wären deren Entwickler perfekt.
Diese Arroganz von Big Tech ist erstaunlich und nervig.
„Sie können unsere Website besuchen. Bitte zeigen Sie zuerst Ihre digitalen Handschellen vor.“
Kann mir das jemand erklären, als wäre ich fünf? Was passiert hier? Hört Firefox auf, auf den meisten Websites zu funktionieren? Funktioniert uBlock nicht mehr? Muss ich vor dem Zugriff auf Websites im World Wide Web einen Netzhautscan schicken?
Na ja, früher haben wir auch ohne Internet gelebt. Ich habe Microsoft Flight Simulator von Disketten installiert. Diesmal werden es eben ein paar Disketten mehr. Keine große Sache.
Linux könnte, abgesehen vielleicht von Ubuntu- und Red-Hat-Builds, nicht funktionieren. Und selbst das erst, nachdem Unterstützung hinzugefügt wurde. Es braucht eine lange Verifizierungskette über Browser, Betriebssystem, Kernel, Boot-Umgebung und TPM hinweg, und es kann lange dauern, Google davon zu überzeugen, dass diese Kette nicht so schwach ist, dass sie gehackt werden kann.
Adblocker werden irgendwann ausgeschlossen. Und wir können auch nicht einfach in die Zeit zurück, in der man Flight Simulator von Disketten gespielt hat. Banken, Flugtickets und Konzertkarten, sogar der Kinderarzt deines Kindes werden das verlangen.
Nicht weil Ärzte eifrig neue Web-Spezifikationen lesen, sondern weil sie medizinische Service-Plattformen nutzen werden, die sich auf Cloudflare-Defaults verlassen, die Sicherheitsleute mögen, weil sie Bots und DDoS reduzieren.
Am Ende nutzt man ein eingezäuntes Betriebssystem, das einen wie Kabelfernsehen ständig überwacht und mit Werbung bespielt. Ein großer Aufschrei könnte Google dazu bringen, etwas zurückzurudern oder Versprechen zu machen, die sie nicht halten können und nicht halten werden.
Die echte Lösung besteht nur darin, den Staat zu nutzen, um zu verhindern, dass Nutzer die Kontrolle verlieren.
Genau! Lasst uns alle Chromium-basierte Browser verwenden!
Was könnte schon schiefgehen?