- Das von Google für Chrome vorgeschlagene Web Environment Integrity (WEI) wird dafür kritisiert, Websites die Überprüfung der Client-Ausführungsumgebung zu ermöglichen und das Web damit faktisch in DRM zu verwandeln
- WEI ist so aufgebaut, dass Nutzer nachweisen können, dass sie einen Web-Client in einer Umgebung wie einem „sicheren Android-Gerät“ ausführen, und dies über kryptografisch signierte Token übermitteln
- Anders als mit dem Vorwand der Betrugsbekämpfung argumentiert Mozilla, dass bestehende Web-Nutzungen wie Hilfstechnologien, automatisierte Tests, Archivierung und Suchmaschinen-Crawler blockiert werden könnten
- Brave erklärte, WEI nicht in den Brave-Browser aufzunehmen, da es Macht vom Nutzer auf große Websites und Plattformen verlagere
- Wenn Remote Attestation in Webstandards aufgenommen wird, kann sie nicht nur für legitime Zwecke, sondern auch für Browser-Sperren, Einschränkungen von Ad-Blockern und stärkere Plattformkontrolle genutzt werden
Die Web-DRM-Kontroverse um Chromes WEI-Vorschlag
- Google hat vorgeschlagen, Web Environment Integrity in Chrome aufzunehmen
- Dieses System würde Websites erlauben, Token anzufordern, die zentrale Fakten über die Umgebung belegen, in der Client-Code ausgeführt wird
- Es könnte zum Beispiel zeigen, dass ein Nutzer einen Web-Client auf einem „sicheren Android-Gerät“ ausführt
- Die Token sind durch kryptografische Signaturen gegen Manipulation geschützt
- Websites entscheiden selbst, ob sie dem Urteil des Attesters vertrauen
- Laut Googles Beschreibung dürfte der Attester in der Praxis meist vom Betriebssystem oder der Plattform kommen
- Das Vorschlagsdokument ist von bestehenden nativen Attestierungssignalen wie Apples App Attest und Androids Play Integrity API inspiriert
- Zur Betrugsbekämpfung können eindeutige Urteile und hohe Abdeckung nützlich sein, dennoch bleibt das Risiko, dass Websites bestimmte Attester oder Browser ohne nachweisbare Integrität ausschließen
Wie Remote Attestation die Machtverhältnisse beim Computer verändert
- Laut Cory Doctorow stellte Microsoft der Electronic Frontier Foundation vor rund 20 Jahren ein Trusted-Computing-Konzept namens Next Generation Secure Computing Base oder Palladium vor
- Der Kern ist Remote Attestation, bei der ein separates Gerät im Computer Bootloader, Betriebssystem, Anwendungen, Erweiterungen und Kernel-Zustand überwacht und ein signiertes Manifest an einen externen Prüfer sendet
- Remote Attestation kann eine mächtige Funktion sein, mit der sich Menschen, die einander nicht vertrauen, gegenseitig die Konfiguration ihrer Computer nachweisen können
- Es sind nützliche und einvernehmliche Anwendungen möglich, etwa wenn ein Unternehmen im Homeoffice die Gerätekonfiguration seiner Beschäftigten überprüft
- Zugleich kann sie zur Ausgrenzung eingesetzt werden, etwa um Word-Dokumente nicht in OpenOffice öffnen zu lassen oder den Netzwerkzugang zu sperren, indem zwischen SMB und Samba unterschieden wird
- Die zentrale Frage ist, ob Computer auch dann nach außen die „Wahrheit“ sagen müssen, wenn ihre Nutzer das nicht wollen, und ob andere aus der Ferne Funktionen auslösen dürfen sollten, die der Nutzer nicht kontrollieren kann
Warum Mozilla und Brave widersprechen
- Mozilla hat sich in der GitHub-Diskussion gegen WEI ausgesprochen, weil es dem offenen Web widerspreche
- Mechanismen, die Auswahlmöglichkeiten einschränken, beschädigen nach Mozillas Ansicht die Offenheit des Web-Ökosystems und sind auch für Nutzer schlecht
- Die vorgeschlagenen Anwendungsfälle hängen von der Fähigkeit ab, „nichtmenschlichen Traffic“ zu erkennen
- Dieser Ansatz könnte bestehende Web-Nutzungen blockieren, etwa Hilfstechnologien, automatisierte Tests, Archivierung und Suchmaschinen-Crawler, die für Menschen gedachte Inhalte empfangen, transformieren, testen, indizieren oder zusammenfassen
- Schutzmechanismen wie „holdback“, bei denen zufällig keine Nachweise erzeugt werden, hätten wahrscheinlich nur begrenzte Wirkung und reichten nicht aus, um die Bedenken auszuräumen
- Auch Brave lehnt Web Environment Integrity ab und kündigte an, WEI nicht in den Brave-Browser aufzunehmen
- Brave sieht in WEI eine Machtverschiebung weg vom Nutzer hin zu großen Websites, insbesondere zu von Google betriebenen Websites
- Selbst bei Nutzung von Chromium soll WEI nicht enthalten sein
- Auch bei WEI ähnlichen, aber enger begrenzten Funktionen wie Teilen von WebAuthn oder Privacy Keys wird geprüft, wie sie eingeschränkt werden können, ohne legitime Nutzungen zu beschädigen
Sorgen um Ad-Blocking und Plattformkontrolle
- Alex Ivanovs weist als einen Nebeneffekt von WEI darauf hin, dass Google Ad-Blocking faktisch verhindern könnte
- Wenn die Kontrolle über den Attester bei der Validierung der Client-Umgebung liegt, entsteht die Sorge, dass Google oder andere große Tech-Unternehmen Vertrauenswertungen manipulieren und entscheiden könnten, welchen Websites oder Browser-Umgebungen vertraut wird
- Brave stellt WEI in den Zusammenhang mit mehreren neueren Web-Vorschlägen von Google
- WebBundles erschweren es nach dieser Sicht, unerwünschte Seiteninhalte zu blockieren oder zu filtern
- First Party Sets machen es Nutzern nach dieser Sicht schwerer zu beurteilen, welche Websites sie verfolgen können
- Die Schwächung von Browser-Erweiterungen durch Manifest V3 reduziert nach dieser Sicht die Kontrolle von Erweiterungen zum Blockieren von Werbung und Trackern wie uBlock Origin
- Brave erklärte, diese Funktionen im Brave-Browser zu deaktivieren oder zu verändern
Wo sollte die Macht im offenen Web liegen?
- Die von WEI adressierten Probleme mit Betrug und Missbrauch existieren tatsächlich, doch der vorgeschlagene Ansatz verändert die Struktur des offenen Internets grundlegend
- Die zentrale Kritik lautet, dass Macht nicht an den Rand des Netzwerks gedrückt, sondern bei Websites und Plattformen zentralisiert wird
- Auch wenn man verschwörungstheoretische Erklärungen wie staatliche Überwachung ausklammert, bleibt dieser Vorschlag an sich schlecht, gefährlich und den Prinzipien des offenen Webs entgegengesetzt
- Selbst wenn Googles Motive gut sind, gibt es keine Garantie, dass ein solches Werkzeug dauerhaft nur wohlwollend eingesetzt wird
- Wer das offene Web unterstützen will, muss WEI ablehnen, und auch Google sollte diesen Vorschlag verwerfen
1 Kommentare
Hacker-News-Kommentare
Es ist an der Zeit, stark für eine kartellrechtliche Zerschlagung von Google zu lobbyieren
Dieser DRM-Plan ist ein Missbrauch einer Monopolstellung und liefert zusätzliche Gründe, eine erzwungene Aufspaltung politisch voranzutreiben. Alphabet ist durch Übernahmen gewachsen, daher ist die Aufteilung relativ klar: Google nur für Suche und Suchanzeigen, DoubleClick für Werbung auf Drittanbieter-Websites, Analytics für Website-Dienste, Cloud für Rechenzentrumsdienste, Android für Geräte, Chrome für den Browser, YouTube für Streaming, Waymo für autonomes Fahren und Alphabet für den Rest
Wenn Chrome von Google und DoubleClick getrennt wäre und um Marktanteile konkurrieren müsste, gäbe es weniger Anreize, das Blockieren von DoubleClick- oder Google-Werbung zu verhindern. Auch die Klage des Bundesstaats Texas und mehrerer Generalstaatsanwälte läuft bereits, und Googles Versuch, sein Monopol technisch zu verfestigen, spielt solchen Klagen in die Hände. Wenn man politisch genug Wirbel macht, ist die Wahrscheinlichkeit groß, dass Google diesen Vorschlag auf Rat seiner Kartellrechtsanwälte zurückzieht
https://www.bloomberg.com/news/articles/2023-06-05/google-an...
https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...
Google ist der alleinige Verkäufer des digitalen Vermögenswerts Werbung und zugleich der alleinige Betreiber des Marktplatzes für diesen Vermögenswert, mit einem geschlossenen algorithmischen Handelssystem ohne öffentliche Prüfung und ohne öffentliches Register, das zeigt, wer wie viel geboten hat. Gleichzeitig ist Google auch ein wichtiger Kunde, der für die eigenen Produkte wirbt
Werbetreibende müssen Tracking-Code auf ihren Websites installieren, sodass Google Transaktionen, Umsätze und Kunden sehen kann. Kombiniert man das mit geschlossenen Algorithmen und einem Werbemarkt, ist das Manipulationspotenzial enorm. Die wichtigste Aufspaltung wäre, das Werbegeschäft vom Rest einschließlich der Suche zu trennen; auch wenn das nicht einfach ist, braucht es Veränderung. Realistisch gesehen wirken strenge Regulierung des Online-Werbemarkts, Firewalls zwischen Geschäftsbereichen und Plattform-Audits wahrscheinlicher
Die Mission eines Unternehmens, das selbst Grundlagen wie Web und E-Mail tiefgehend kontrolliert, „die Informationen der Welt zu organisieren“, scheint sich inzwischen dahin verändert zu haben, „möglichst viele bezahlte Mittelsmänner vor die Informationen der Welt zu setzen“ oder manche Informationen ganz zu blockieren
Man darf einem einzelnen Unternehmen nicht erlauben, die Informationen der „Welt“ faktisch zu verwalten. Ich weiß nicht genau, wie Alphabet aufgespalten werden sollte, aber ich stimme zu, dass es aufgespalten werden muss. Wenn Information frei sein soll, müssen wir auch neu betrachten, wie diese Freiheit in einer Welt geschützt werden kann, in der Google nicht so tut, als wäre es ihr Hüter
https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
Geld zu verlieren ist an sich in Ordnung. Man muss investieren, bevor man Gewinne erzielt, und Dienste wie Google Cloud können, sobald sie etabliert sind, zu Gelddruckmaschinen werden. Allerdings schütten Cloud-Anbieter Geld über Dritte und Partner aus, damit diese an Unternehmen verkaufen und dort implementieren. Ein niederländisches Blumenhandelsunternehmen war dabei, Hunderte Dienste zu AWS zu migrieren, und ein neuer IT-Manager schien Verbindungen zu Amazon beim AWS-Vertrieb zu haben. Ist man erst einmal drin, kostet der Ausstieg Millionen Dollar und Jahre, daher dürften Seitwärtswechsel von AWS zu GCP nicht oft vorkommen
Chrome existiert vor allem, damit das Werbegeschäft mehr Daten bekommt und Einfluss auf die Richtung des Webs ausüben kann. Trennt man das ab, hat Chrome abgesehen von ein paar Einnahmen mit ChromeOS keine Erlösquelle und wäre schwer aufrechtzuerhalten
Ich verstehe, dass das als politisches Druckmittel gedacht ist, um Google zur Aufgabe dieses Vorschlags zu bewegen. Aber eine Aufspaltung von Google/Alphabet ist unrealistisch, und ich will sie nicht, solange Microsoft nicht gleichzeitig aufgespalten wird. Sonst könnte Microsoft wieder das Web beherrschen, und diese Zeit möchte ich nicht noch einmal erleben
Das widerlegt Googles Behauptung, OEMs hätten eine Wahl und es handle sich nicht um ein Google-Monopol, praktisch vollständig. Das Problem ist, dass Google sehr gut darin ist, unter dem Radar zu bleiben. Nur eine Minderheit, die keine Produkte von Apple, Google oder Microsoft nutzt, bemerkt es; Politiker sowie Öffentlichkeit und einflussreiche Personen wissen fast nichts davon
Auch diesmal wird sich wahrscheinlich niemand darum kümmern. Es ist zu kompliziert zu erklären, sodass wohl auch diejenigen, die sich kümmern müssten, wieder wegsehen. Der Kern ist, dass die besorgte Minderheit nicht laut genug ist. Man muss Banken und andere, die de-Googled Android blockieren, weiter unter Druck setzen, und es braucht auch eine öffentliche Liste der verbliebenen „guten“ Dienste. Im Moment bleibt nur, freie Browser und freie Betriebssysteme tatsächlich zu nutzen und das Problem, selbst wenn nur auf GitHub und ähnlichen Orten, so laut wie möglich anzusprechen. Am lautesten in Sachen Freiheit des Webs sind nur web3 und crypto, aber für mich wirkt das wie Leute, die nur Stimmung machen, um mit Spekulation Geld zu verdienen
Wir haben es so weit kommen lassen, weil wir alle Google-Dienste wie kostenlose und nützliche Tools behandelt haben.
Wenn man über „Chrome hier, Chrome da“ redet, vergisst man, dass es in Wirklichkeit ein strategisches Werkzeug der größten Werbeagentur der Welt ist. Chrome, GMail usw. passen alle in ein globales Ad-Tech-Framework, das dubiose Werbung ausspielt und personenbezogene Daten absaugt.
Google dringt über Monopole und Oligopole in unser Leben ein. Man muss das Framing verbreiten, dass Google ein dubioses Unternehmen ist. Es ist kein vertrauenswürdiges Unternehmen, sondern ein Werbegigant, und es hat keine Integrität. Wenn eine Bank Googles Integritätsfunktion nutzt, sollte man beim Kundendienst anrufen, sich wie ein Anfänger lange mit „es funktioniert nicht“ festhalten lassen und, sobald es schließlich um Integrity + Chrome geht, nachhaken: „Stecken Sie mit einer dubiosen Werbeagentur unter einer Decke? Ich dachte, Sie seien eine vertrauenswürdige Bank.“
Im Helpdesk zählen vor allem Kennzahlen für geschlossene Tickets und Gesprächsdauer; ein emotionaler Ausbruch ändert gar nichts.
Am Ende bezahlt man zuerst mit Daten und später noch einmal mit Geld. Ein kostenloses Internet mag für manche gut sein, aber wir alle zahlen die Werbesteuer, die im Preis der Produkte steckt, die wir kaufen. Würde man dieses ganze Freemium-Preismodell lieber verbieten und wie früher direkt für Dinge bezahlen, ließen sich viele Probleme lösen.
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Vielleicht müssen wir bald mehr Angst vor einer Situation haben, in der Banken nur noch Apple-Geräte verlangen.
2012 hatte ich bei Google Ireland ein Vorstellungsgespräch für eine SRE-Stelle.
Wegen familiärer Probleme bin ich am Ende nicht hingegangen, aber eine Zeit lang habe ich es bereut, die Gelegenheit verpasst zu haben, Probleme in Google-Größenordnung zu lösen und FAANG-Geld zu verdienen.
Heute ist dieses Bedauern völlig verschwunden. Das liegt daran, wie Google sich verändert hat und wie es seine Rolle in der Welt versteht. Oder vielleicht ist die eigentliche Natur des Unternehmens einfach deutlicher geworden. In den 2000ern glaubte ich, Google sei eine Kraft zum Guten in der Unternehmenswelt, aber heute bin ich überzeugt, dass das überhaupt nicht mehr stimmt. Das macht mich traurig, und ich fürchte den Schaden, den es am Ende für das Internet, das ich mag, und für die FOSS-Welt anrichten wird.
Ich sehe Google nicht als ein einzelnes Wesen mit einer einzigen wahren Natur. Es ist letztlich eine Organisation, in der Menschen Entscheidungen treffen. Manchmal veröffentlichen sie VP8 als Open Source und schaffen damit weltweiten Wert, und manchmal führen sie Experimente durch, deren Absichten sie besser hätten erklären sollen.
Unter Pichai wirkt es so, als wolle es seine Position festschreiben, Konkurrenten töten und das WWW in GWWW verwandeln.
Selbst als sie das berüchtigte DoubleClick übernahmen, war ich erfreut, weil ich glaubte, sie könnten die Online-Werbebranche zum Besseren verändern. Aber dazu kam es nicht, und Google wurde am Ende selbst zu so einer minderwertigen Online-Werbefirma.
Das frühe Google wirkte wie eine Gruppe aufrichtiger, anständiger Leute. Nach dem Platzen der Dotcom-Blase stürzten sich alle auf Monetarisierung, um die Rechnungen zu bezahlen, und ich denke, dort wurden die Samen für das heutige Google gelegt.
Google mag so getan haben, als würde es etwas schützen, aber seit der Gründung als juristische Person war es durchgehend ein böses Unternehmen. Unternehmen verhalten sich konstruktionsbedingt so.
Ein passendes Beispiel: Google hat in seinen eigenen Diensten über zehn Jahre lang Dinge wie „nur IE5+“ gemacht. Es hat den Browserwettbewerb nicht mit einem guten Produkt getötet, sondern gute Dienste besessen oder aufgekauft und sie dann genutzt, um Nutzern Chrome aufzuzwingen. Freiwillig geschah das über Werbung im Milliarden-Dollar-Umfang, unfreiwillig über Lügen zu Kompatibilität und Performance oder über das Blockieren anderer User Agents.
IE verlor an Vorläufer von Firefox, während Microsoft sich nach dem vermeintlichen Sieg zurücklehnte und das IE-Team auflöste. Firefox verlor den Wettbewerb, als Google Chrome wahnsinnig schnell machte, fiel immer wieder zurück und verlor am Ende fast den gesamten Marktanteil. Die Dominanz von Chrome und Googles Missbrauch seiner Marktposition sind unerfreulich, aber während des größten Teils seiner Lebenszeit war Chrome ein gutes Produkt.
https://www.businessinsider.com/google-sergey-brin-employees...
Unternehmen versuchen, Geld zu verdienen oder Hebel aufzubauen. Natürlich gibt es auch Unternehmen, die schlecht in der Umsetzung oder im Wettbewerb sind. Anfangs hat Google Gutes getan und dabei Hebel aufgebaut; jetzt ist es in der Phase, diese Hebel zu nutzen, um die Cashcow so lange wie möglich zu melken.
Computergeräte sind Agenten des Nutzers, die ihm näher stehen als Ärzte, Geistliche oder Anwälte.
Wir teilen mit unseren Geräten intimere Informationen und sind ohne sie weit weniger in der Lage, ein normales Leben zu führen. Computer vermitteln immer mehr unserer Interaktionen mit anderen Menschen und der Welt und sind auch für Kommunikation und den Zugang zu essenziellen Diensten nötig. Da wir sie in unsere Wohnungen und Schlafzimmer lassen, sollten sie im besten Interesse des Nutzers handeln und zumindest nicht zu dessen Nachteil.
Das sollte keine besondere Forderung sein, sondern die Grundannahme. Schon als das Konzept freier Software gerade entstand, stand der Respekt vor dem Nutzer im Zentrum. Die frühere Missachtung bestand meist aus Rent-Seeking, überhöhten Preisen, Gleichgültigkeit gegenüber Funktionen und Bugs sowie Regeln zugunsten der Autoren. Es bestand zwar die Möglichkeit, dass Software aktiv und absichtlich gegen den Nutzer handeln könnte, und die Freiheit zum Prüfen, Ändern und Weitergeben war theoretisch eine Antwort auf dieses Risiko. Aber damals war das kein häufiges Problem. Heute sind Software und Systeme, die Nutzer aktiv verraten, verbreitet und normalisiert, und die meisten scheinen das gar nicht zu bemerken.
Für mich wirkt es schon zu spät
Ich habe stark den Eindruck, dass es der Mehrheit einfach egal ist und die meisten es gar nicht wissen wollen. Das gilt auch für die meisten Leute, die ich kenne: Sie fragen, warum ich nicht die neueste App installiere, unterbrechen mich aber, bevor ich Privatsphäre, Abhängigkeit, den Verlust des Zugangs zu Ressourcen, das Recht auf Reparatur usw. erklären kann.
Persönlich verbringe ich so viel Zeit wie möglich damit, Alternativen wie Gemini, Fediverse-Apps, Linux-Phones kennenzulernen. Gleichzeitig habe ich einen separaten „Mainstream“-Laptop, den ich nur für quasi lebensnotwendige Dienste wie Banking nutze; darauf installiere ich nichts und lasse ihn normalerweise ausgeschaltet.
Dasselbe gilt für Korruption in den oberen Ebenen von Regierung und Justiz, geheime Haftanstalten und Folter sowie illegale Kriege zum Zweck des Profits. Es ist unmöglich, sich für alles zu interessieren, was passiert, und es ist unvernünftig zu erwarten, dass Menschen alles wissen oder sich um alles kümmern.
Außerdem sind die meisten Bürger nur zwei ausbleibende Gehaltsschecks von Armut entfernt. Lobbyisten hingegen haben Zugang zu Entscheidungsträgern und Geld, um konkrete Veränderungen voranzutreiben. Diese Struktur ist so designt, und Google nutzt sie nur aus wie andere Unternehmen auch. „Die Leute“ dafür verantwortlich zu machen, heißt die Opfer verantwortlich zu machen.
In dem Beitrag wurde Doctorows hervorragendes Zitat zu Secure Computing auf WEI angewendet.
„Wenn du möchtest, dass dein Computer für dich lügt: Sollte er gezwungen werden können, die Wahrheit zu sagen? Sollte es in deinem Computer ein Gerät geben, das du nicht kontrollieren kannst und das jemand anderes aus der Ferne betreiben kann?“
Das ist eine passende Anwendung und eine Grundsatzfrage, deren Antwort je nach Kultur und den früheren Erfahrungen einzelner Personen und Organisationen mit Machtmissbrauch durch Herrschende unterschiedlich ausfällt. Ich persönlich bin dagegen.
Wenn es um einen nicht entfernbaren, verlöteten Chip geht, der die „Wahrheit“ über den Kernel o. Ä. meldet, dann glaube ich nicht, dass man wissen kann, ob der Computer die Wahrheit sagt oder nicht. Ein einziger Besuch auf der DEF CON reicht, um das zu verstehen. Es gibt immer einen Weg hinein, es gibt immer einen Hack. Je schwieriger man den Hack macht, desto stärker werden die Nerds auf der DEF CON motiviert.
Außerdem bedeutet „jemand anderes“ niemals nur „die Leute, die du willst“. Kriminelle, Stalker und autoritäre Regierungen sind zwangsläufig dabei. Deshalb lautet die Antwort schlicht: „Nein“.
Wenn ein selbstfahrendes Auto nicht unbedingt im Sinne seines Besitzers handelt, sondern dem „Richtigen“, also der Wahrheit, folgt, stellt sich bei einem unvermeidlichen Unfall die Frage, was Vorrang haben soll: die Interessen des aktuellen Besitzers, die Interessen des Herstellers oder der durchschnittliche Nutzen für alle.
Google hat von Anfang an nie wirklich irgendetwas verteidigt, und do no evil war größtenteils Marketing.
Schon ein Blick auf die 2010er reicht.
https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
„Wir sammeln keine personenbezogenen Daten“
https://europe.googleblog.com/2010/04/data-collected-by-goog...
„Oh, haben wir doch“
https://googleblog.blogspot.com/2010/05/wifi-data-collection...
Googles Lohnabsprachen reichen ebenfalls bis 2001 zurück.
https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...
Ein „Nebeneffekt“ davon ist, dass Google damit faktisch Adblocking verhindern könnte.
Natürlich würden viele sagen, dass das kein Nebeneffekt ist, sondern das eigentliche Endziel.
Offenbar nehmen alle ganz selbstverständlich an, dass dies DRM ist.
Das eigentliche Argument lautet, dass Websites dieses Signal nutzen, um Zugriff zu erlauben oder zu verweigern; und das ist schon heute auf verschiedene Weise möglich. Google oder andere Browser-Anbieter können nicht bestimmen, wie Websites eine Funktion nutzen oder missbrauchen.
Betrugsprävention braucht eindeutige Entscheidungen und eine hohe Abdeckung, zugleich besteht aber die Spannung, dass Websites bestimmte Attester oder Browser, die keinen Nachweis erbringen können, ausschließen könnten. Dieses Risiko existiert bereits und tritt tatsächlich ein. Dass es nicht weit verbreitet ist, liegt nicht daran, dass es unmöglich wäre, sondern daran, dass es unpopulär ist. Websites wie Banken, die man gezwungenermaßen nutzen muss, machen das jeden Tag, und man nimmt es hin, weil man keine Wahl hat.
Viele Beiträge wiederholen die „DRM“-Behauptung, ohne zu erklären, worin der Unterschied besteht, was Google mit der Behandlung von Nutzern durch Websites zu tun hat oder welche Lösung es gäbe. Jede Google-Initiative sollte man skeptisch sehen, aber hier sehe ich nur, dass potenzieller Missbrauch ohne kritisches Denken nachgeplappert wird. Die Beiträge zu diesem Thema ordnen nur die Wörter neu an und schaffen keinen Mehrwert; automatisch von KI generiert hätten sie wohl einen ähnlichen Nutzen.
Man kann herausfinden, welche Fingerprinting-Techniken verwendet werden, und sie umgehen.
yt-dlpmacht das zum Beispiel in gewissem Maße. Auch unter Android gab es viel Unterstützung dafür, Rooting oder Custom-ROMs wie ein unverändertes Android aussehen zu lassen, um Banking-Apps weiter nutzen zu können. Je nach von der App verwendetem SafetyNet-Niveau ist das inzwischen aber buchstäblich unmöglich.Vor TPM-basierter Attestierung konnte man das eigene Gerät kontrollieren. Android-SafetyNet-Attestierung basiert auf einer Vertrauenswurzel, die Custom-ROMs nicht bereitstellen können, und lässt sich daher nicht umgehen. Selbst wenn man eine eigene Implementierung anbieten könnte, nützt das nichts, wenn alle nur die von Google bereitgestellte unterstützen. Auch LineageOS hat eine eigene SafetyNet-Implementierung, aber sie wird kaum übernommen. WEI ist im Grunde eine Ausweitung von SafetyNet auf das Web und unterscheidet sich fundamental dadurch, dass es einem die Kontrolle über das eigene Gerät entzieht.
Das erste Ziel des Vorschlags ist es, „Webservern zu ermöglichen, die Echtheit eines Geräts sowie die Software-Stack- und Geräte-gebundene Ehrlichkeit der Darstellung des Traffics zu bewerten“. Mit anderen Worten: Webserver sollen den Zugriff auf Inhalte für das vom Nutzer gewählte Gerät und den gewählten Software-Stack digital beschränken oder verwalten können.
Dass dies DRM ist, steht außer Frage. Google behauptet, es werde nur zur Unterscheidung von Bots und missbräuchlichem Traffic verwendet, aber diese Technik lässt sich leicht missbrauchen, und Google hat sowohl das Motiv als auch die Fähigkeit dazu. Die Frage „Welche Lösung schlägst du vor?“ ist so, als würde man fragen, wie man das Problem löst, dass jemand auf der Straße einem eine Pistole an den Kopf hält und Geld verlangt, aber das eigene Geld noch nicht in seiner Hand ist. Obendrein käme noch die Bedingung hinzu, dass man die Person nicht einmal auffordern darf, die Waffe herunterzunehmen, bevor dieses Problem gelöst ist.
Selbst im besten Fall wirkt diese Sichtweise extrem naiv. Funktionen, die zum Sperren von Inhalten oder zur Überwachung von Nutzern verwendet werden können, werden am Ende auch so verwendet. Das gilt für alle heute existierenden Funktionen, und etwas anderes zu behaupten grenzt fast an Böswilligkeit.
Wenn „Browser-Anbieter nicht für den Missbrauch durch Websites verantwortlich sind“, sollte man dann Dateisystem-, Standort-, Kamera- und Mikrofonzugriff standardmäßig ohne Berechtigungsdialog aktivieren? Java und Flash könnten wir dann auch wiederbeleben. Schließlich ist es ja nicht die Schuld der Browser-Anbieter, wenn Websites das missbrauchen.
Das hier ist anders. Eine aussagekräftige Attestierung der Umgebung, in der der Browser läuft, ist ohne eine vollständige Vertrauenskette, die beim Secure Boot beginnt, nicht erreichbar; und das ermöglicht Google und der besuchten Website, von Google genehmigte Bootloader, von Google genehmigte Betriebssysteme sowie von Google genehmigte Treiber und Software zu verifizieren. Noch schlimmer: Websites könnten sogar von ihnen genehmigte Software verlangen.
Gibt man Kindern scharfe Messer und geladene Waffen in die Hand und ist dann überrascht, wenn jemand verletzt wird? Wenn wir zulassen, dass diese Funktion möglich wird, müssen wir alle die Folgen tragen. Es ist klar absehbar, welche Folgen das sein werden. Wir sollten nicht töricht sein.
Ist es wirklich so schwer, sich vorzustellen, dass irgendein Produktmanager bei YouTube die Verluste durch Adblocker berechnet und dann das Chrome-Team bittet, sie zu blockieren?