- Googles Vorschlag Web Environment Integrity (WEI) würde Chrome dazu bringen, manipulationsgeschützte Informationen über den Zustand von Betriebssystem und Software an Websites zu senden, was die Kontrolle der Nutzer darüber schwächen könnte, was ihr eigener Computer über sie aussagt
- WEI nutzt TPM oder eine Secure Enclave für Remote Attestation, sodass Websites Browser- und Gerätekonfigurationen nicht anhand der Angaben des Nutzers, sondern per kryptografischem Nachweis prüfen können
- Als Begründung werden weniger Anzeigenbetrug, Man-in-the-Middle-Angriffe, Cheating in Spielen sowie Bot-Konten und Fake-Bewertungen genannt, der tatsächliche Nutzen dürfte jedoch vor allem bei kommerziellen Dienstebetreibern ankommen
- Websites könnten WEI verwenden, um unerwünschte Browser oder Betriebssysteme auszusperren, und Googles vorgeschlagene Abschwächung, „bei einem kleinen Teil der Chrome-Nutzer kein WEI zu senden“, dürfte Ausschlüsse kaum verhindern
- Remote-Attestation-Werkzeuge selbst müssen nicht verboten werden, gehören aber nicht ins offene Web; Nutzer sollten selbst entscheiden können, was ihr Computer und ihre Software über sie mitteilen
Wie Google das Verhältnis zwischen Browser und Website verändern will
- Google will Chrome um Code erweitern, der Websites manipulationsgeschützte Informationen über den Zustand des Betriebssystems und der Software des Nutzers sendet
- Anders als die Begründung mit weniger Anzeigenbetrug vermuten lässt, könnte diese Funktion die Fähigkeit der Nutzer einschränken, ihren eigenen Computer zu kontrollieren
- Nutzer, die kein genehmigtes Betriebssystem oder keinen genehmigten Browser verwenden, könnten von manchen Websites ausgesperrt werden
- Ein inoffizielles Erklärdokument von Google-Mitarbeitern zu Web Environment Integrity (WEI) räumt ein, dass dies die Eintrittsbarrieren für neue Browser erhöhen könnte
Welche Informationen Browser an Websites senden
- Ein Webbrowser sendet beim Verbindungsaufbau zu einem Server automatisch Informationen über Gerät und Browser
- Zum Beispiel Angaben wie „Chrome 116.0.5845.61 auf einem Google Pixel 4“
- Server können auch detailliertere Informationen anfordern, etwa installierte Schriftarten oder Bildschirmgröße
- Diese Informationen helfen Websites dabei, passende Dateiformate, Auflösungen und Layouts für das Gerät des Nutzers bereitzustellen
- Dieselben Informationen werden auch für Browser-Fingerprinting genutzt
- Nutzer, die Cookies oder andere Tracking-Methoden ablehnen, können über die Kombination von Browsereigenschaften identifiziert werden
- Manche Websites nutzen Browser- und Geräteinformationen, um unterschiedliche Preise zu verlangen oder schlechte bzw. irreführende Angebote zu machen
Warum Nutzer falsche oder zufällige Informationen senden können sollten
- Die Informationen, die Browser heute an Websites senden, sind grundsätzlich freiwillig
- Nutzer können mit Plugins, Privacy-Tools oder erweiterten Einstellungen selbst festlegen, welche Informationen sie an nicht vertrauenswürdige Websites senden
- Es reicht womöglich nicht aus, Informationen einfach nicht zu senden
- Denn ein Dienst kann Geräteinformationen verlangen und Nutzer ablehnen, die sie nicht bereitstellen
- Privacy- und Anti-Tracking-Tools können stattdessen plausible, aber falsche Geräteinformationen senden
- So können Dienste Nutzer nicht wegen ihrer Privacy-Entscheidungen diskriminieren
Wie Remote Attestation und Secure Computing funktionieren
- Die meisten modernen Computer, Tablets und Smartphones verfügen über irgendeine Form von Secure Computing
- Frühere Secure-Computing-Ansätze nutzten einen separaten Prozessor namens Trusted Platform Module (TPM); viele Geräte verwenden heute eine Secure Enclave als gehärtetes Subsystem
- Solche Systeme können jeden Schritt des Bootvorgangs überwachen und prüfen, ob unveränderter, vom Hersteller bereitgestellter Code ausgeführt wird
- Derselbe Mechanismus kann auch dazu dienen, Nutzer absichtlich daran zu hindern, anderen Code auszuführen
- Zum Beispiel freie und Open-Source-Betriebssysteme
- Oder Software, die so verändert wurde, dass Überwachungsfunktionen deaktiviert sind oder Installationen außerhalb des App Store des Herstellers erlaubt werden
- TPMs und Secure Enclaves enthalten kryptografische Signaturschlüssel
- Sie können Informationen auf niedriger Ebene erfassen, etwa über Betriebssystemversion, Erweiterungen, Software und Bootloader
- Diese Informationen können als kryptografisch signierte Attestation bereitgestellt werden
- Ein entfernter Server muss dann nicht mehr den Angaben des Browsers vertrauen, sondern kann einen kryptografischen Nachweis des Geräts verlangen
Rechtliche Risiken von Umgehung und Forschung
- Wenn Nutzer die Sicherheitsmechanismen von Secure Enclave oder TPM nicht umgehen können, wird die Attestation zu einem sehr verlässlichen Indikator für die Gerätekonfiguration
- Veränderungen an TPM oder Secure Enclave können rechtlich riskant sein
- DMCA Section 1201, Patente und Urheberrecht können für Techniker, die solche Technologien untersuchen, zivil- und strafrechtliche Risiken schaffen
- Das Risiko steigt weiter, wenn Methoden zum Deaktivieren oder Umgehen von Sicherheitsfunktionen veröffentlicht werden
- Wer Umgehungswerkzeuge verbreitet, setzt sich möglicherweise erheblichen straf- und zivilrechtlichen Risiken aus, bis hin zu mehrjährigen Haftstrafen
Die von WEI vorgeschlagene Remote Attestation für das Web
- WEI ist ein technischer Vorschlag, mit dem Server von Geräten Remote Attestation anfordern können
- Die Anfrage wird an die Secure Enclave oder das TPM des Geräts weitergereicht, und das Gerät antwortet mit einer kryptografisch signierten, hoch vertrauenswürdigen Beschreibung seiner selbst
- Nutzer können sich zwar entscheiden, diese Informationen nicht an entfernte Server zu senden
- Sie verlieren jedoch die Möglichkeit, bei Bedarf veränderte oder zufällige Informationen über Gerät und Software zu senden
Googles angeführte Anwendungsfälle und ihre Grenzen
- Google-Ingenieure gehen davon aus, dass WEI verschiedene Probleme verringern könnte
- Unterscheidung zwischen echten Nutzern, die einen Browser manuell bedienen, und Bots, die einen Dienst automatisiert steuern
- Weniger Anzeigenbetrug, höhere Publisher-Erlöse und dadurch womöglich bessere Inhalte
- Schutz vor Man-in-the-Middle-Angriffen, bei denen sogar Einmalpasswörter der Zwei-Faktor-Authentifizierung abgefangen und in echte Logins eingesetzt werden
- In Spielen prüfen, ob die Gegenseite eine unveränderte Version ausführt und nicht cheatet
- Erkennung und Blockierung von Browser-Automatisierung, um Betrug wie Fake-Bewertungen oder massenhaft erzeugte Bot-Konten zu verhindern
- Für diese Anwendungsfälle mag es gewisse Argumente geben
- Doch bei Sicherheitsfragen werden Eingriffe in Privacy und persönliche Autonomie oft damit gerechtfertigt, dass sie einen Teil des Problems tatsächlich mindern
- Wenn man allen Kunden, die einen Laden betreten, Handschellen anlegt, könnte Diebstahl sinken — aber Diebstahl ist ein Problem des Ladens und nicht etwas, dessen Kosten alle Kunden tragen sollten
WEI könnte zum Aussperren von Browsern und Betriebssystemen genutzt werden
- Ein Abschnitt in Googles Dokument räumt ein, dass Websites WEI nutzen könnten, um ihnen nicht genehme Browser und Betriebssysteme auszusperren
- Als Abschwächung erwägt Google, dass Chrome auch nach einer WEI-Implementierung bei einem „kleinen Prozentsatz“ von Computern, die eigentlich WEI-Daten senden könnten, diese Informationen nicht sendet
- Theoretisch würden Websites, die Browser ohne WEI blockieren, damit auch diese kleine Gruppe von Chrome-Nutzern aussperren und könnten wegen Nutzerbeschwerden ihre Politik wieder zurücknehmen
- Viele Websites könnten jedoch durchaus festlegen wollen, welche Browser und Betriebssysteme verwendet werden dürfen
- In der Vergangenheit gab es Fälle wie „Diese Website funktioniert am besten mit Internet Explorer 6.0 unter Windows XP“
- Manche Websites könnten die Kosten akzeptieren, diese „kleine Gruppe“ an Nutzern zu verlieren
- Sie könnten Nutzer auch anweisen, ihre Browserdaten zurückzusetzen und es erneut zu versuchen, bis WEI für diese Website aktiv wird
Googles Interessenkonflikt
- Google hat bei der Festlegung, wie groß dieser kleine Prozentsatz sein soll, einen Interessenkonflikt
- Wenn der Anteil sehr klein ist, kann Google mehr Anzeigenklicks verifizieren, was der Abteilung zur Bekämpfung von Anzeigenbetrug zugutekommt
- Mehr verifizierte Anzeigenklicks würden es Google ermöglichen, Werbung zu höheren Preisen zu verkaufen
- Ein höherer Anteil würde es Websites schwerer machen, ausschließende Mechanismen umzusetzen
- Ein hoher Anteil bringt Google aber keinen direkten Vorteil und würde konkurrierende Browser leichter möglich machen
- Selbst wenn diese Abschwächung umgesetzt wird, hat Google einen Anreiz, den Anteil so klein zu halten, dass das offene Web nicht wirksam geschützt wird
Das Prinzip, dass Nutzer Herr über ihren eigenen Computer sind
- Ein Computer gehört seinem Nutzer und sollte so funktionieren, wie der Nutzer es vorgibt
- Gesetze, die Reverse Engineering und den Umbau von Computern verhindern, sind bereits problematisch, doch die Gefahr ist größer, wenn einige wenige große Websites die Engpässe des Internets kontrollieren
- Eine kleine Zahl von Unternehmen bildet die Zugangstore zwischen Käufern und Verkäufern, Künstlern und Publikum, Arbeitnehmern und Arbeitgebern sowie Familien und Gemeinschaften
- Wenn solche Unternehmen Geschäfte verweigern, kann das digitale Leben von Nutzern zum Stillstand kommen
- Das Web ist die letzte große offene Plattform, die dem Internet geblieben ist
- Eine Plattform, auf der jeder ohne Erlaubnis und ohne die Spezifikationen anderer erfüllen zu müssen Browser oder Websites bauen und teilnehmen kann
- Selbst wenn Websites virtuelle Kontrollpunkte mit dem Prinzip „nur genehmigte Technik kommt durch“ errichten, sollten Nutzer das Recht haben, ihnen die Antworten zu geben, die diese Websites hören wollen
WEIs Absicht und der vorhersehbare Missbrauch
- Die Befürworter von WEI sagen, dass es nur für gutartige Zwecke eingesetzt werden soll
- Sie kritisieren ausdrücklich auch den Einsatz von WEI zum Blockieren von Browsern oder zum Ausschluss von Nutzern, die ihre Privacy schützen wollen
- Aber Informatiker können nicht bestimmen, wie Technik in der Praxis tatsächlich verwendet wird
- Wenn man dem Web Attestation hinzufügt, ist das Risiko hinreichend vorhersehbar, dass Unternehmen damit das Recht der Nutzer auf eigene Gerätekonfiguration angreifen
- Dieses Risiko ist besonders groß, wenn die Bedürfnisse der Nutzer mit den kommerziellen Prioritäten von Tech-Unternehmen kollidieren
- WEI sollte nicht geschaffen werden, und falls doch, sollte es nicht eingesetzt werden
Wie mit Remote-Attestation-Technologie umzugehen ist
- Remote Attestation an sich sollte nicht verboten werden
- Code ist Ausdruck, und jeder sollte die Freiheit haben, Werkzeuge für Remote Attestation zu erforschen, zu verstehen und zu entwickeln
- Solche Werkzeuge können in verteilten Systemen einen Zweck erfüllen
- Ein Hersteller von Wahlmaschinen könnte damit die Gerätekonfiguration vor Ort überprüfen
- Ein gefährdeter Menschenrechtsaktivist könnte einem vertrauenswürdigen Techniker eine Remote Attestation senden, um bei der Einschätzung zu helfen, ob das Gerät mit staatlich unterstützter Malware infiziert ist
- Solche Werkzeuge dürfen jedoch nicht dem Web hinzugefügt werden
- Für eine offene Plattform ist Remote Attestation ungeeignet
- Nutzer sollten das letzte Wort darüber haben, was ihr Computer und ihre Software anderen mitteilen
Nutzerautonomie steht über Unternehmensproblemen
- Es ist nachvollziehbar, dass Unternehmen, deren Einnahmen unter Anzeigenbetrug leiden, Spielefirmen im Kampf gegen Cheater und Dienste mit Bot-Problemen vor Herausforderungen stehen
- Aber die Lösung solcher Probleme darf nicht über den Rechten der Menschen stehen, die Technologie nutzen
- Nutzer haben das Recht zu entscheiden, wie ihr Computer funktioniert und was dieser Computer anderen mitteilt
- Das Recht, das eigene Gerät zu kontrollieren, ist ein Grundbaustein aller Bürgerrechte in der digitalen Welt
- Das offene Web bringt mehr Nutzen als Schaden
- Wenn große, monopolartige Unternehmen die technischen Entscheidungen der Nutzer außer Kraft setzen, lassen sich Unternehmensprobleme vielleicht lösen — die Probleme der Nutzer aber nicht
1 Kommentare
Hacker-News-Kommentare
Meine praktischen Erfahrungen als Security Engineer dürften helfen zu verstehen, warum das in eine schlechte Richtung laufen wird.
Banken sind extrem sicherheitssensible Organisationen, weil die Kosten eines Hacks astronomisch sind und Regulierung verlangt, sie „so sicher wie möglich“ zu machen.
Banken werden WEI nicht einführen, weil sie das offene Web oder Linux-Nutzer nicht mögen, sondern weil sie andernfalls Haftungsprobleme bekommen könnten, weil sie „nicht alles getan haben, was für die Sicherheit möglich war“, was zu Klagen, regulatorischen Strafen und höheren Versicherungsprämien führen kann.
Im Moment ist WEI keine Anforderung, weil es WEI noch nicht gibt; sobald es aber existiert, wird es wahrscheinlich zur Standardpraxis, und wer dagegen ist, kann so unrealistisch wirken wie jemand, der CCTV wegen Eingriffs in die Privatsphäre ablehnt.
Bald werden CDNs wie Cloudflare das per Checkbox anbieten, und Website-Betreiber werden es aus Treuhandpflichten heraus kaum deaktivieren können.
Bis vor zwei Jahren nutzten wir IE7, ein erheblicher Teil der Arbeit läuft immer noch darüber, Excel-Dateien per E-Mail hin- und herzuschicken, und allein die Tatsache, dass eine eingegangene E-Mail eine Excel-Datei im Anhang hat, wird wie ein Gültigkeitsnachweis behandelt.
Wir betrieben auch einen SMTP-Relay ohne Authentifizierung und ignorierten echte Sicherheit, während auf Arbeitslaptops Windows erzwungen wird.
Der Grund war, dass man ein bevorzugtes RAT-PowerShell-Skript ausführen wollte, das rekursiv alle JARs im System entpackt, um log4shell zu finden, und das passiert immer noch.
Die Leute, die solche Regeln und Praktiken geschaffen haben, betreiben auch das zentrale Clearing-System für Zahlungen der dänischen Zentralbank.
Banken sind weniger sicher als vielmehr konservativ und politisch; sie machen den Leuten das Leben schwer, um Sicherheitstheater aufrechtzuerhalten, aber tatsächlich ist es eher eine Fassade.
WEI werden sie ganz sicher einführen, aber Sicherheit wird es nicht bringen.
Allerdings haben Banken eine recht gute Erfolgsbilanz beim Schutz des Geldes der Leute, und das liegt an Defense in Depth, bei der Compliance-Mitarbeiter verdächtige Transaktionen manuell prüfen.
Viele große Institute unterstützen immer noch nur SMS-2FA, und selbst das ist erst seit Kurzem verpflichtend.
Selbst wenn sich diese Technik also verbreitet, werden Bankkonten wahrscheinlich nicht als Erste, sondern eher als fast Letzte dazu gezwungen.
Dass Kreditkarten erschreckend unsicher sind, gehört in denselben Kontext.
Nicht, weil es ihnen egal wäre, sondern weil sie technische Maßnahmen nur als kleinen Teil der gesamten Sicherheitsstrategie sehen und Online-Zugriff ebenfalls nur als kleinen Teil des Geschäfts, der grundsätzlich nicht vertrauenswürdig ist.
Der Großteil des Webs vertraut authentifizierten Nutzern, Banken hingegen vertrauen selbst authentifizierten Nutzern im Allgemeinen nicht und betrachten jede Handlung als potenzielles Risiko; deshalb hat die Stärkung der Authentifizierung selbst eine vergleichsweise niedrige Priorität.
Selbst wenn es ein Webinterface gibt, braucht man zum Einloggen die mobile App.
Bei dem Teil, dass Gegner „unrealistisch wirken und sich dort nicht lange halten“ würden, bin ich mir allerdings nicht sicher.
Menschen, die gegen allgegenwärtige Überwachung sind, wirken für die Mehrheit nicht unbedingt unrealistisch, und sie ändern ihre Haltung auch nicht.
Der kurze Absatz, dass einige wenige Unternehmen die Engpässe zwischen Käufern und Verkäufern, Künstlern und Publikum, Arbeitnehmern und Arbeitgebern, Familien und Gemeinschaften kontrollieren und dass das digitale Leben stillsteht, wenn sie Transaktionen verweigern, fasst die seltsame Lage, in die wir hineingeraten sind, gut zusammen.
Die negativ betroffenen Stakeholder sind praktisch die gesamte Gesellschaft, und solche Gatekeeper haben natürliche Verbündete wie vereinnahmte Politiker oder Gehaltsabhängige sowie Märkte, die Externalitäten ignorieren.
Trotzdem ist es seltsam, dass sie eine ganze Gesellschaft mit nahezu unbegrenzten finanziellen, politischen und intellektuellen Ressourcen in die Knie zwingen können.
Es wirkt fast so, als sei bereits Mind Control auf Systemebene am Werk.
Ich denke eher, dass die Gesellschaft als Ganzes nicht erpresst wird, sondern dass es den meisten einfach egal ist.
Das ist nicht so verrückt: keine Gedankenkontrolle, sondern altbekannte Gleichgültigkeit und Unwissenheit.
Ich stimme im Großen und Ganzen zu, aber ein Punkt: TPM steht nicht für Technical Protection Module, sondern für Trusted Platform Module.
Nicht so extrem wie die FSF, aber sie mischt gern Kommentar hinein, und in diesem Fall klingt es, als hätte jemand sarkastisch sein wollen.
Allerdings scheint es ein Fehler zu TPM zu sein oder der Versuch, wie bei anderen Abkürzungen eine alternative Auflösung einzuführen.
Als Advocatus Diaboli: Diese Technik existiert bereits; die Frage ist nur, ob man im Browser Client-Attestierung macht oder so tut, als gäbe es keine Remote-Attestierung.
Wenn das abgelehnt wird, könnten Dienste, die „vertrauenswürdige Clients“ benötigen, Web-Apps aufgeben und sich auf iOS-/Android-Apps stützen.
Ich will WEI nicht verteidigen, aber das Problem verschwindet nicht magisch, nur weil Google es nicht in Chrome implementiert; es verlagert sich nur woandershin.
Der eigentliche Kampf war damals, als TPM überhaupt implementiert wurde.
Ähnlich wie wenn nur Microsoft die Kontrolle über Secure-Boot-Schlüssel hat.
Auf Mobilgeräten gibt es bereits viele Attestierungsfunktionen, etwa sichere Bereiche, Sicherheitsprozessoren und kryptografische Funktionen der SIM-Karte.
Wir brauchen keine Technik, die zwangsläufig dazu missbraucht wird, technisch versierte Menschen nach willkürlichen Regeln vom alltäglichen Internet auszuschließen.
Es gibt keine Checks and Balances, sondern ein sehr breit gefasstes Bündel an Befugnissen, das den Nutzern aufgezwungen wird.
Das ist kein Vorschlag und kein Experiment, sondern der Versuch eines Zwangs-Rollouts.
Es erklärt gut, warum das Web sich von mobilen und nativen Apps unterscheidet und warum APIs wie Client-Attestierung, die in mobilen Umgebungen möglich sein mögen, schädlich sind, wenn sie in die Web-Plattform eingebaut werden.
Der WEI-Vorschlag verstößt zum Beispiel gegen das Prinzip „Das Besuchen von Webseiten muss sicher sein“ (https://www.w3.org/TR/design-principles/#safe-to-browse).
Neue Funktionen müssen so gestaltet sein, dass sie die Erwartung der Nutzer bewahren, dass der Besuch einer Webseite im Allgemeinen sicher ist.
Damit das Web lebendig bleibt, müssen Nutzer erwarten können, dass allein der Besuch eines Links keine wesentlichen Aspekte der Sicherheit oder Privatsphäre ihres Computers beeinflusst.
Eine API, mit der jede Website erkennen könnte, ob Assistive Technology genutzt wird, könnte zum Beispiel dazu führen, dass Nutzer solcher Technologien den Besuch unbekannter Seiten als riskant empfinden.
Wenn diese Sicherheitserwartung realistisch ist, können Nutzer eine informed decision zwischen webbasierten Technologien und anderen Technologien treffen.
Die Installation nativer Apps ist riskanter als der Besuch einer Webseite; daher können Nutzer sich etwa für eine webbasierte Seite zur Essensbestellung statt für die Installation einer App entscheiden.
Unter vorsichtigen, aber nicht extrem technikaffinen Nutzern gibt es viele, die die Installation mobiler Apps strikt ablehnen, wenn sie nicht von einer Quelle stammen, der sie am meisten vertrauen; dieses Prinzip bietet eine gute Struktur, um zu beurteilen, warum Nutzer weiterhin das Web bevorzugen.
Früher hatte Venmo eine vollständige Web-App, aber inzwischen kann man im Web kein Geld mehr senden oder empfangen.
Viele Funktionen von Chase sind ebenfalls nur auf dem Smartphone verfügbar.
Und viele dieser Apps blockieren, wenn sie es erkennen können, jailbroken iPhones oder gerootete Android-Geräte.
Wenn eine Bank sie verlangt, werde ich einfach ausgesperrt.
Es gibt keinen Attestierungs-Daemon, und selbst wenn es einen gäbe, würde die Bank ihm nicht vertrauen.
Selbst wenn Firefox das hinzufügte, würde es auf meinem Computer weiterhin nicht funktionieren.
Die Leute reden immer nur über den Browser, aber ich möchte weiterhin ein Betriebssystem nutzen, in das keine Adware und Spyware eingebaut ist.
Der Computer, den ich besitze, steht unter meiner Kontrolle, und Remote-Attestierung ist genau dazu da, diese Kontrolle zu verhindern.
Das ist das grundlegende Problem.
Wenn Banken oder Broker das implementieren, muss ich entweder einen neuen dedizierten Computer kaufen oder Bankgeschäfte nur noch telefonisch oder persönlich erledigen.
Das ist eine enorme Verschwendung und hilft der Sicherheit nicht, aber sobald es existiert, wird es auf einer Checkliste landen, der Banken folgen.
Das Ziel hier ist nicht, den Bereich auszuweiten, in dem Client-Attestierung eingesetzt wird, sondern ihn zu verkleinern.
Jede noch so kleine Verringerung ist ein Sieg; zuerst muss man es aus dem Browser herausholen und sich danach um native Attestierung in Apps kümmern.
Das Argument „Wenn wir es ablehnen, gehen die Dienste zu nativen Apps“ wurde bei EME genauso vorgebracht.
Inzwischen können wir auf die Auswirkungen von EME zurückblicken: Es hat die Abwanderung zu nativen Apps nicht verhindert, Unternehmen wie Netflix haben trotz EME die meisten Einschränkungen beibehalten, die sie ohnehin vorhatten, und es hat der Browser-Vielfalt geschadet.
Im Web „machen wir einfach nicht“ zu sagen, mag beängstigend klingen, aber wir haben bereits erlebt, dass es nichts bringt, sich Einschüchterung zu beugen.
Sites, die nativ gehen wollen, werden das tun, und WEI allein wird keine geschäftliche Rechtfertigung dafür sein, im Web zu bleiben oder es zu verlassen.
Wer ausschließlich nativ sein will, wird wegen WEI nicht plötzlich eine Website bauen, sondern nur WEI zu seinem Werkzeugkasten hinzufügen, mit dem er Nutzerautonomie einschränkt, während er ohnehin tut, was er vorhatte.
Es ist gut, wenn Unternehmen, die sich auf Client-Attestierung stützen wollen, gezwungen werden, ihre Web-Präsenz aufzugeben, und die Stärke des Webs wird unterschätzt.
Das Web stirbt nicht, nur weil WEI nicht unterstützt wird.
Es ist gut, EFF-Artikel zu empfehlen, aber man kann auch direkt spenden, um solche Kampagnen zu unterstützen.
Sie machen auch tolle Merchandise-Artikel: https://supporters.eff.org/donate/
[1] https://www.eff.org/press/releases/international-coalition-r...
[2] https://blog.cloudflare.com/kiwifarms-blocked/
Ich verstehe nicht, warum ich mich darum kümmern sollte, Googles Anzeigenbetrug zu reduzieren und dem Werbegeschäft zu helfen.
Das ist Googles Problem, und es gibt keinen Grund, warum ich daran beteiligt werden sollte, Informationen über meinen privaten Computer an Dritte weiterzugeben, nur damit Google mehr Geld verdient.
WEI ähnelt ein wenig dem alten Telefonnetz, in dem Privatpersonen kein eigenes Telefon besitzen und ans Netz anschließen durften.
Am Ende erklärte die Regierung das für illegal.
Einer der detailliertesten und ausgewogensten Texte, die ich bisher zu diesem Thema gelesen habe.
Allerdings fehlt wie in anderen Texten eine sehr wichtige Erklärung zu Web Environment Integrity.
Das ist kein Teil des Webs.
Es ist ausschließlich ein Google-Entwurf für ein Google-Chrome-Feature, und auch wenn Google W3C-Mitglied ist, geschieht das nicht in dieser Mitgliedschaftsrolle.
Er ist so stark auf Googles Interessen beschränkt, dass ich glaube, ein solcher Vorschlag hätte es schwer, überhaupt bis zu einer Charta einer Arbeitsgruppe zu kommen.
Der einzige Grund, warum er eine Bedrohung für das Web darstellt, ist Googles überwältigende Marktmacht, die bereits an ein Monopol heranreicht.
Ich befürchte, dass die auffällige Verwendung des Begriffs „Web“ in solchen Dokumenten den Ruf des W3C beschädigen könnte, das über robuste Verfahren[1] verfügt, um kurzfristige Interessen zu vermeiden, die der Offenheit des Webs langfristig schaden könnten.
[1]: https://www.w3.org/Consortium/Process/
Eine sehr gut geschriebene Erklärung. Ich würde gern öfter Erklärungen dieser Art sehen.
Die Leute scheinen das als Prüfung auf Adblocker verstanden zu haben, aber der ursprüngliche Vorschlag sagte ausdrücklich, dass Browser-Erweiterungen überhaupt nichts mit WEI zu tun haben.
WEI ruft bestehende Betriebssystem- und TPM-basierte Attestierungs-APIs auf und stellt Websites diesen Attestierungsstatus bereit.
Es sieht immer noch ähnlich aus wie bei Verschlüsselungsgegnern, die sagen: „Denkt an die Kinder.“
Ich sehe weiterhin keine Erklärung dafür, wie WEI das Verhalten von Website-Betreibern auf magische Weise verändern soll.
Betreiber können schon jetzt unerwünschte Clients blockieren, tun das aber nicht in einem Ausmaß, das das „offene Internet“ praktisch behindern würde.
Wenn Apple es nicht implementiert, ist WEI bedeutungslos, und der einzige Einfluss, den die aktuelle Diskussion auf Apple haben wird, dürfte sein, wie diese Entscheidung öffentlich verpackt wird.
Weil ich meinen Computer derzeit noch dazu bringen kann, das zu sagen, was ich ihm auftrage, habe ich eine kleine Firefox-Erweiterung gebaut, die festlegt, was er sagen soll.
Es ist kindisch und trivial, aber manchmal fühlt es sich gut an, seine Rechte auszuüben.
[1] https://github.com/rogual/wei-gfy