1 pontos por GN⁺ 2023-07-27 | 1 comentários | Compartilhar no WhatsApp
  • A Vivaldi vê a Web Environment Integrity como algo que dá aos sites o poder de decidir se confiam em navegadores e plataformas, o que pode abalar a acessibilidade e a concorrência na web aberta
  • A proposta tem uma estrutura em que um attester de terceiros verifica o ambiente de execução; embora alegue impedir interações falsas, pode funcionar como um DRM para sites
  • Se a decisão de confiança ficar concentrada em poucas empresas, aumenta o risco de novos navegadores, navegadores menores, softwares legados e usuários de Linux serem excluídos do acesso à web
  • Mesmo que navegadores se recusem a implementar a API, sites podem bloquear usuários caso passem a exigi-la, e serviços do Google ou o Google Ads podem funcionar como pressão para sua adoção
  • Em 3 de novembro de 2023, o Google decidiu não levar adiante a Web Integrity API, mas a diversidade de navegadores e de motores de navegador continua sendo necessária

O que a Web Environment Integrity pretende fazer

  • Web Environment Integrity é uma proposta para permitir que sites verifiquem, por meio de uma API, se podem confiar no navegador e na plataforma usados no acesso atual
  • A estrutura prevê que a confiança seja determinada por um terceiro autorizado, o attester
  • O objetivo se aproxima de impedir interações “falsas” em vários sites, mas os detalhes do funcionamento não são claros
  • Os casos de uso podem parecer razoáveis à primeira vista, mas o efeito real pode acabar se aproximando de um DRM para sites
  • O fato de o primeiro caso de uso ser a verificação da autenticidade de interações com anúncios pode se conectar ao fortalecimento da plataforma de publicidade do Google

A exclusão criada pela avaliação de confiança dos navegadores

  • Se uma determinada entidade decidir em quais navegadores confiar, deixa de haver garantia de que qualquer navegador será aceito automaticamente
  • Novos navegadores passam a começar, por padrão, como não confiáveis e precisam provar sua confiabilidade de uma forma que convença o attester
  • Usuários de software legado que não ofereça suporte à especificação podem ser excluídos da web com o tempo
  • Mesmo que a especificação mencione o risco de exclusão de fornecedores, pode acabar tratando o problema de forma morna, sem uma solução real

Attesters por plataforma e preocupações concorrenciais

  • O principal exemplo de attester na especificação é o Google Play no Android
    • Nessa estrutura, o Google decidiria em sua própria plataforma quais navegadores são confiáveis
    • A Vivaldi considera difícil esperar que o Google julgue isso de forma justa
  • No Windows, menciona-se a possibilidade de a Microsoft assumir papel semelhante por meio da Windows Store; no Mac, a Apple poderia fazer o mesmo
    • Nesse cenário, ao menos Edge e Safari provavelmente seriam considerados confiáveis
    • Outros navegadores dependeriam do julgamento de Google, Microsoft e Apple
  • Não há uma resposta clara para Linux
    • Não está claro se o Linux seria completamente excluído da navegação web ou se a Canonical se tornaria a decisora por meio do repositório de pacotes snaps
    • Para usuários de Linux, a situação permanece desfavorável

Incertezas sobre identificação humana, automação e extensões

  • A especificação sugere fortemente o objetivo de verificar se uma pessoa real está interagindo com o site, mas não deixa claro como isso seria alcançado
  • As perguntas em aberto são:
    • se seriam usados dados comportamentais para avaliar se o usuário age como uma pessoa
    • se esses dados seriam fornecidos ao attester
    • se ferramentas de acessibilidade que dependem de automação de entrada no navegador tornariam o navegador não confiável
    • qual seria o impacto sobre extensões
  • A especificação atual prevê exceções para modificações no navegador e extensões, mas extensões podem facilitar a automação de interações com sites
  • Manter exceções facilita a vida de atacantes que queiram contornar o sistema; reduzi-las cria a possibilidade de restrições também serem aplicadas às extensões

Por que é difícil recusar a implementação

  • Se um navegador não implementar a Web Environment Integrity, ele pode se tornar um navegador não confiável
  • Se sites exigirem essa API, poderão recusar usuários desses navegadores
  • O Google tem meios para impulsionar a adoção pelos sites
    • Pode fazer com que seus próprios serviços passem a depender desse recurso
    • Não conseguir usar sites do Google pode ser fatal para a maioria dos navegadores
    • Também pode exigir o uso da API em sites que utilizam Google Ads
  • Se o primeiro objetivo for impedir cliques falsos em anúncios, a simples integração com o Google Ads pode fazer a adoção da API se espalhar rapidamente

Possíveis freios legais e seus limites

  • A Vivaldi considera provável que a legislação da UE não permita que poucas empresas tenham grande poder para decidir quais navegadores serão aceitos
  • Attesters podem sofrer forte pressão para agir da forma mais justa possível
  • No entanto, processos legislativos e judiciais são lentos, então o dano já pode estar feito enquanto governos e tribunais analisam a questão
  • Se a proposta avançar, a web aberta pode enfrentar tempos difíceis, e fornecedores menores podem ser particularmente afetados

Propostas anteriores do Google e domínio de mercado

  • O domínio do Google no mercado de navegadores é avaliado como tendo potencial para se tornar uma ameaça existencial à web
  • A Vivaldi considera que o Google já apresentou propostas ruins para a web antes, citando como exemplos FLOC, TOPIC e Client Hints
  • A Web Environment Integrity é vista como uma continuação dessa tendência e como uma ameaça maior por poder levar Microsoft e Apple a cooperarem com o Google para limitar a concorrência entre navegadores e sistemas operacionais
  • No longo prazo, é preciso colocar o Google em um ambiente competitivo mais nivelado, o que exige tanto legislação quanto redução da participação de mercado do Google

Atualização de 3 de novembro de 2023

  • O Google decidiu não levar adiante a Web Integrity API
  • A Vivaldi vê isso como algo muito positivo para a neutralidade da web aberta
  • Ainda assim, considera que o Google se move muito mais por seus próprios interesses do que pelo interesse da web como um todo, e que será preciso observar o que substituirá essa proposta
  • Assim como Topics surgiu depois do FLOC, permanece a suspeita de que possa surgir uma especificação aparentemente menos intrusiva, mas prejudicial aos usuários
  • A Vivaldi também vê como suspeito o fato de essa decisão coincidir com o recente anúncio de que o Google pretende mudar seu modelo de cobrança de anúncios de pagamento por clique para pagamento por impressão
  • Para que uma única entidade não determine o futuro da web, a diversidade de navegadores e de motores de navegador é importante

1 comentários

 
GN⁺ 2023-07-27
Opiniões do Hacker News
  • É especialmente absurdo o Google dizer isso. O SafetyNet do Android é, em tese, para segurança, mas na prática acaba reduzindo bastante a segurança.
    Ele bloqueia ROMs de terceiros modernas e seguras, enquanto aprova ROMs terrivelmente vulneráveis fornecidas pelos fabricantes. Se bloqueasse essas ROMs, a reação dos usuários seria grande, então deixam como está.
    No fim, em vez de oferecer uma melhoria de segurança significativa para o usuário médio, ele funciona como aprisionamento ao fornecedor e bloqueia o caminho para usuários avançados melhorarem a segurança sem comprar hardware novo. A alegação de que esse tipo de attestation traz benefícios legítimos ao usuário precisa ser contestada com mais força.

    • Falando em telefones bloqueados e hostis ao usuário, é uma ironia enorme que o post mais recente no blog de Ben Wiser, funcionário do Google que publicou essa proposta, seja uma reclamação por ele não poder rodar livremente o software que quer no próprio iPhone.
      https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
      https://github.com/RupertBenWiser/Web-Environment-Integrity
    • Quase qualquer software ou site pode ser vendido como tendo benefícios para o usuário, como mais conveniência ou segurança. A pergunta mais importante é que benefício isso traz para quem o criou e o que ele realmente faz.
      É possível usar um cliente web que não vaze dados em excesso, mas o Google provavelmente preferiria que não usássemos esse tipo de cliente. Também seria possível rotular todos os clientes web não aprovados como “bots” e todo uso da web que não exponha informações demais sobre o ambiente do usuário como “fraude”.
      Essa mentalidade de tudo ou nada, que enxerga todo uso da web como atividade comercial e todos os sites como recipientes para anúncios, chega perto de uma distorção cognitiva típica.
    • Exato. O bypass em si é trivial, mas exige fazer root no dispositivo, então, mesmo em ROMs customizadas, pode acabar havendo uma redução de segurança.
    • Essa descrição não se aplica ao GrapheneOS.
      https://grapheneos.org/articles/attestation-compatibility-gu...
      O próprio SafetyNet já está previsto para ser descontinuado.
      https://developer.android.com/training/safetynet/deprecation...
  • Funcionalidades controversas de navegador são sempre parecidas. Se não forem implementadas, a experiência do usuário pode piorar em sites que exigem esse recurso.
    Mas, como criadores de software, vocês precisam decidir por si mesmos o que é melhor para seus clientes. Se a única esperança de não seguir isso for a UE dar uma bronca no Google, é preocupante, porque parece que vocês não têm disposição para assumir uma posição firme por conta própria.

    • Quase nenhum grande serviço web age com base no que é melhor para o usuário. Se isso ganhar força, o Google poderá se recusar a fazer pagamentos do AdSense por impressões geradas em páginas “não confiáveis”, e grandes operadores que dependem de receita publicitária implementarão WEI imediatamente, sem se importar nem um pouco com os usuários.
    • Isso é quase um erro de categoria. A maioria dos recursos ou APIs de navegador é tratada como melhoria progressiva até que tenha adoção suficiente e, mesmo quando depois se passa a presumir a existência do recurso, em geral isso só degrada a experiência; o site não quebra completamente.
      Mas attestation na web é diferente. Se um site a exigir e o navegador não a implementar, em muitos casos o usuário pode ser totalmente bloqueado nesse site.
      Além disso, mesmo que o Vivaldi implemente WEI, há uma grande chance de que a autoridade de attestation — Google, Microsoft, Apple — ou o próprio site não reconheça o Vivaldi como um ambiente válido. Fica a dúvida se navegadores que dão liberdade demais ao usuário, como extensões de bloqueio de anúncios, automação pelo usuário e scripting, seriam vistos como um “ambiente aceitável”.
    • O que torna o WEI diferente é que ele, na prática, também controla as escolhas sobre como implementar outros recursos da web. Por exemplo, pode influenciar até se será permitido bloquear elementos ou mostrar o console de desenvolvedor.
      Com exceção de Encrypted Media Extensions, que ainda assim é bem mais limitado que o WEI, não conheço bem padrões web que funcionem desse jeito.
    • Como o Google também controla o mecanismo de busca e a rede de anúncios mais populares, pode pressionar bastante desenvolvedores web ao não dar anúncios ou tráfego a sites que não seguirem isso.
      Como eu já bloqueio todos os anúncios, não simpatizo totalmente com desenvolvedores que tomam decisões com base em maximizar receita publicitária, mas não é justo jogar o peso sobre os desenvolvedores aqui dizendo “a escolha é sua, é só recusar”.
    • O Google já tentou coisas assim antes e recuou. Duas que me vêm à cabeça:
      1. FLoC: https://www.theverge.com/2022/1/25/22900567/google-floc-aban...
      2. Dart: o Google tentou substituir o JavaScript, mas Mozilla e Microsoft rejeitaram por não participarem, e o projeto acabou morrendo.
        O Google tenta muitas coisas. Mozilla, Microsoft e Apple ainda são fortes o bastante para se opor ao que consideram más ideias, especialmente fora dos EUA.
  • Até agora, as threads relacionadas parecem ser mais ou menos estas. Será que faltou alguma?
    Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - julho de 2023 (705 comentários)
    Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - julho de 2023 (439 comentários)
    Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - julho de 2023 (161 comentários)
    Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - julho de 2023 (413 comentários)
    Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - julho de 2023 (447 comentários)
    Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - julho de 2023 (437 comentários)
    Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - julho de 2023 (44 comentários)
    Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - julho de 2023 (93 comentários)
    Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - maio de 2023 (1 comentário)

    • Havia um post relacionado, mas ele foi marcado com flag
      “I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
      Parece que usuários com karma suficiente o sinalizaram, mas por um tempo ele não aparecia como “[flagged]”, ao mesmo tempo em que não surgia nas primeiras páginas nem recebia mais upvotes, o que foi confuso. Fico pensando se há um atraso para a marcação “[flagged]” aparecer
  • Se quiser protestar de verdade, dá para fazer assim: cada pessoa coloca em seu site um código que verifica se o user agent implementa essa API e, se passar no teste, informa que aquele navegador não é bem-vindo, explicando o motivo
    #BoycottGoogle #BoycottChrome #BoycottBullshit

    • Eu concordo e gostaria que todo mundo fizesse isso junto, mas não consigo imaginar as pessoas que controlam o dinheiro com quem trabalho concordando
    • É preciso dizer isso ao seu chefe. E, se o Google quiser, acho que também pode criar uma forma de esconder isso
  • Como sempre, é um texto longo sobre a WEI do Google, mas não menciona que a Apple já colocou esse barco na água discretamente, e por isso quase não recebeu atenção nem reação contrária
    https://httptoolkit.com/blog/apple-private-access-tokens-att...
    https://toot.cafe/@pimterry/110775130465014555
    É o triste estado das notícias e blogs de tecnologia. Não enxergam o quadro maior e só repetem o mesmo drama

    • Como muitos usuários de internet no mundo, não tenho produtos da Apple, então não percebi, nunca fui afetado e provavelmente continuarei não sendo
      Por outro lado, continuo interagindo com sites que usam Google Analytics ou anúncios do Google. Se esses sites começarem a recusar o navegador que escolhi, vou ser de fato bloqueado de uma parte considerável da internet
      Os demais 60% dos usuários de internet também podem, na prática, ser forçados a aceitar essa tecnologia. Como a quantidade de usuários afetados é uma ou duas ordens de grandeza maior, há motivo suficiente para soar o alarme
    • O texto também diz isso. Como o Safari não é o navegador dominante da web, não é o mesmo problema. O poder que a Apple pode exercer com isso é muito limitado
    • Defender com “há um vilão maior do outro lado” não é uma estratégia vencedora
    • Pessoalmente, acho que Private Access Tokens não são tão ruins quanto a WEI. PAT serve mais para contornar CAPTCHA, enquanto a WEI pode acabar bloqueando completamente as pessoas de sites
    • Com certeza deveria ter recebido mais atenção
  • O fato de o primeiro caso de uso ser verificar se a interação com anúncios é real é só o começo. A attestation pode acabar fazendo com que anunciantes exijam que o usuário esteja realmente presente e olhando para a tela
    Pode virar algo como o episódio “Fifteen Million Merits”, de Black Mirror

    • A Sony já tem uma patente para exatamente esse cenário de Black Mirror
      https://www.creativebloq.com/sony-tv-patent
      A ideia é que o espectador da TV tenha de gritar o nome da marca para pular um anúncio. Algo como ter de gritar “McDonald's!” para o Big Mac desaparecer
      Se não forem impedidas, as empresas farão as coisas mais insanas e horríveis, e isso vai acontecer de fato
    • No Android, alguns anúncios em vídeo também pausam quando você puxa a área de notificações para baixo
    • Estou esperando pelo dia em que haverá outro motor de navegador inteiro implementado em WASM dentro de um navegador hospedeiro que todos os sites de mídia serão obrigados a usar
  • Agora precisamos de duas coisas. Primeiro, uma separação antitruste do Google em busca e publicidade. Segundo, um imposto sobre anúncios
    É preciso fazer com que exibir anúncios demais seja economicamente prejudicial para mecanismos de busca

    • Concordo com a primeira, mas a segunda parece mirar no alvo errado. Isso não tem muito a ver com busca
      O Google está tentando usar sua posição de mercado como maior vendedor de anúncios e, ao mesmo tempo, criador do Chrome/Chromium, o navegador mais popular, para garantir que o usuário não consiga deixar de ver anúncios do Google em qualquer site
    • Vejo a ideia de separar busca e publicidade como algo que pode mudar o jogo, mas como a busca geraria receita sem anúncios e sem comprometer o algoritmo de ranqueamento?
    • Não acho que exibir anúncios vá se tornar economicamente prejudicial para mecanismos de busca. Os espaços de anúncio na primeira tela sempre poderão ser vendidos por um bom valor
      Em vez disso, deveria ser taticamente prejudicial, porque anúncios prejudicam a precisão e fazem os usuários irem embora. Mas, sem um concorrente muito mais preciso, dá para aguentar por bastante tempo
      Há também sinais promissores na Busca Google. Alguns relatam que a precisão caiu, e o Google continua mudando seu comportamento característico para evitar spam, tornando inútil, nesse processo, o esforço que as pessoas investiram em SEO e em truques para pesquisar no Google. Mas essas duas coisas também podem ser o mesmo fenômeno
  • Já consigo ver a mensagem “Este site não é compatível com o seu dispositivo” aparecendo no YouTube
    Está sob controle do Google, e eles querem que você veja anúncios no navegador oficial, então não seria estranho. Isso também pode entrar cedo em apps bancários
    No longo prazo, ou isso murcha e morre, ou leva a medidas antitruste. Não vejo muito outro caminho

    • É bem provável que todos os serviços de streaming implementem isso rapidamente sob o pretexto de combater a pirataria. Não vai funcionar, e só vai prejudicar quem quer assistir usando navegadores ou sistemas operacionais que respeitam mais a liberdade
    • Sem uma cadeia de confiança completa desde o boot, como no Android e no iOS, e exceto nos casos em que um ambiente desktop proprietário puder fornecê-la, deve ser possível falsificar a troca de “sou um navegador legítimo”
      O 1% que se importa fará isso. Mas é terrível que, onde antes havia a web aberta, agora seja preciso descer para métodos subterrâneos, tipo “cracks”. E ainda há o risco de ser bloqueado se for detectado
    • Bancos não são o alvo. Se bancos adotarem medidas que atrapalhem pessoas com deficiência, administradores de contas corporativas com deficiência e idosos, vão apanhar feio. Eles serão obrigados a agir com cautela
  • Não sei exatamente em que o WEI é pior do que um olho mágico na porta. Bots já são um grande problema e estão piorando. Qual é a alternativa?
    Tanto no mundo real quanto na web, é preciso saber quem está do outro lado. Talvez eu esteja sozinho, mas acho que o WEI é algo bom
    Quem já operou um site sabe o quanto bots dão dor de cabeça. Sites que não se importam com bots podem simplesmente não usar WEI. Claro que, na prática, vão usar, porque bots são um problema
    Com o avanço da IA, isso já era inevitável de qualquer forma. Pensar o contrário beira a ilusão

    • SSL, na prática, é usado apenas para certificados de servidor. Era ruim por causa das autoridades certificadoras e havia muitas reclamações, mas a situação melhorou com o Let’s Encrypt. Além disso, a identidade fica vinculada apenas ao controle do domínio, e isso é diferente de algo muito mais invasivo e praticamente um balcão de negócios, como certificados de assinatura de código
      O WEI tem potencial para virar um verdadeiro DRM no modelo de “dispositivos aprovados”. É muito invasivo e pode ser usado, ao bel-prazer de grandes empresas, para excluir leitores de tela, bloqueio de anúncios, prevenção contra rastreamento, prevenção contra fingerprinting, download de conteúdo protegido por copyright e qualquer outro uso que venham a imaginar no futuro
      Literalmente é um portal para transformar a web em uma App Store — ou, sendo otimista, em várias lojas de apps. Se bots são o problema, é preciso ser específico. Há muitos bots bons e, ironicamente, a maior parte do tráfego de bots vem dessas grandes empresas que empurram esse tipo de coisa. Para bots maliciosos existem listas de bloqueio de IP; bots manipuladores em área cinzenta são um problema, mas isso é diferente de explicar por que todos os usuários devem ser algemados compulsoriamente
    • A essência do WEI é impedir que o usuário tenha controle total sobre seu próprio dispositivo. Se você dá às pessoas controle sobre seus dispositivos, bots aparecem. A questão é se você acredita que eliminar bots é mais importante do que a computação de uso geral
      Bots são apenas computadores fazendo o que seus donos querem. A posição favorável ao WEI equivale a se incomodar com o fato de outras pessoas usarem seus computadores de uma forma de que você não gosta e, por isso, querer tirar delas o controle desses computadores
      Agora que uma IA forte está à porta, vemos um movimento para retirar a computação de uso geral. Todos os piores resultados vêm de pessoas perderem a capacidade de controlar seus próprios computadores
    • SSL não exige que algum terceiro aprove meu software e meu hardware para que funcionem
    • TLS não permite que um site restrinja o uso da pilha tecnológica que o usuário quer usar — hardware, sistema operacional e navegador. O WEI permite
    • Quem usa um navegador sem esse recurso se tornará cidadão de segunda classe, obrigado a passar por procedimentos extremos para usar a web, ou poderá ser simplesmente bloqueado de grande parte dela
      Uso vários scripts pessoais de web scraping. Por exemplo, tenho cópias digitais de todos os meus holerites. Quase tudo isso deixaria de ser útil
      O site de previdência do meu emprego anterior só permitia baixar extratos mensais manualmente e detectava a biblioteca Mechanize, exibindo um aviso de proibição de robôs. Ninguém faria isso manualmente todo mês, mas eles também não permitiam robôs
      Ainda assim, naquela época, para bloquear era preciso instalar algum software especial em algum lugar; isto torna esse tipo de coisa muito mais fácil. Também me preocupo com ferramentas como Selenium. Isto não é SSL
  • Há muita indignação moral em relação a esta proposta, e com razão. Na verdade, ela deveria ser ainda maior. Mas, separadamente disso, de qualquer forma esta proposta não parece que vá funcionar bem
    Se for implementada sem oposição, ela se tornará uma web com DRM sólida, de ciclo fechado, e chamará a atenção dos legisladores. Espero que isso aconteça
    Se ainda houver navegadores que se oponham, ela não terá muita utilidade para os sites. Afinal, eles terão de manter mecanismos de backup para detecção de fraude. Se tiverem de mantê-los, provavelmente verão mais vantagem em usar como solução única os métodos existentes, que permitem coletar muito mais dados pessoais

    • Para começo de conversa, isso nunca foi pensado para sites individuais. É uma medida puramente para proteger o negócio de publicidade do Google