- A Free Software Foundation considera que a Web Environment Integrity (WEI) do Google ameaça a liberdade de acessar a web com o navegador e o sistema operacional que o usuário quiser
- A WEI é uma API que faz com que sites verifiquem, por meio de um serviço de atestação de terceiros, se o ambiente de navegação foi “adulterado” antes de entregar a página
- A FSF teme que essa verificação passe a funcionar de modo a permitir apenas configurações de navegador reconhecidas pelo Google, bloqueando o acesso de usuários de navegadores livres e sistemas operacionais livres
- O potencial real de abuso seria maior do que os casos de uso nominais descritos no documento de política, podendo ser usado para impor navegadores aprovados, reforçar o DRM e restringir o acesso a serviços do Google
- A FSF afirma que a WEI não tem justificativa legítima e exige que o Google interrompa imediatamente um trabalho de padronização que dificilmente é compatível com uma internet livre
Por que a WEI entra em conflito com a internet livre
- A FSF considera que usar navegadores livres é mais importante do que nunca e critica a Web Environment Integrity do Google como um dos piores exemplos recentes das ações da empresa
- A WEI começou com um documento de política publicado no GitHub da Microsoft e, desde então, o Google vem incorporando rapidamente o desenvolvimento ao Chromium browser
- Essa API permite que desenvolvedores aprovem certas configurações de navegador e proíbam outras
- A FSF entende que essa abordagem entra em choque frontal com a ideia original da internet, na qual páginas com hiperlinks podem ser acessadas por diferentes dispositivos, programas e sistemas operacionais
- A WEI se parece mais com um DRM que torna toda a web mais fechada, sendo vista como um grande passo rumo à “enshittification” da web
Como funciona e quais abusos são esperados
- Na WEI, antes de entregar uma página, o servidor solicita a um serviço terceirizado de “atestação” que confirme se o ambiente de navegação do usuário não foi “adulterado”
- A FSF acredita que esse servidor de verificação pode acabar sendo controlado pelo Google, passando a checar se o navegador não se desviou nem um pouco das configurações aceitas pela empresa
- Como resultado, os usuários teriam dificuldade para exercer de forma significativa as quatro liberdades, e navegadores livres ou sistemas operacionais livres poderiam ter a entrega de páginas recusada em alguns sites
- O problema apontado é que as possibilidades de uso real seriam maiores do que os casos de uso legítimos apresentados no documento de política
- Governos poderiam usá-la para permitir o acesso à internet apenas por navegadores oficialmente “aprovados”
- Empresas como a Netflix poderiam usá-la para reforçar o Digital Restrictions Management (DRM)
- O Google poderia usá-la para negar acesso a seus serviços caso o usuário não utilize navegadores alinhados aos seus interesses
- A FSF afirma que “não há qualquer justificativa legítima” para a WEI e critica que seu uso central, na prática, seria restringir a internet livre
- Os tomadores de decisão do Google deveriam considerar os princípios fundadores da web, reconhecer que a WEI é fundamentalmente incompatível com uma internet livre e interromper imediatamente o trabalho de padronização
1 comentários
Comentários do Hacker News
Posts relacionados. Seria bom me avisarem se houver mais
Plano de segurança de navegador do Google é criticado como perigoso, terrível e DRM para sites - https://news.ycombinator.com/item?id=36893071 - julho de 2023 (63 comentários)
Google Web Environment Integrity é o novo Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - julho de 2023 (282 comentários)
Funcionário do Google responde a feedback negativo sobre WEI - https://news.ycombinator.com/item?id=36881506 - julho de 2023 (25 comentários)
Google já está enfiando WEI no Chromium - https://news.ycombinator.com/item?id=36876301 - julho de 2023 (832 comentários)
Dissecando a especificação Web Environment Integrity do Google - https://news.ycombinator.com/item?id=36875940 - julho de 2023 (431 comentários)
Engenheiros do Google querem tornar o bloqueio de anúncios quase impossível - https://news.ycombinator.com/item?id=36875226 - julho de 2023 (468 comentários)
Google contra a web aberta - https://news.ycombinator.com/item?id=36875164 - julho de 2023 (191 comentários)
A Apple já lançou atestação na web, e quase nem percebemos - https://news.ycombinator.com/item?id=36862494 - julho de 2023 (421 comentários)
A pesadelesca “Web Integrity API” do Google quer um porteiro de DRM para a web - https://news.ycombinator.com/item?id=36854114 - julho de 2023 (456 comentários)
Proposta da Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - julho de 2023 (441 comentários)
Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - julho de 2023 (2 comentários)
Explicação sobre Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - julho de 2023 (45 comentários)
Proposta do Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - julho de 2023 (93 comentários)
Web Environment Integrity – Google quer trancar o navegador - https://news.ycombinator.com/item?id=35864471 - maio de 2023 (1 comentário)
Não entendo por que deixam o Google simplesmente fazer esse tipo de absurdo. Primeiro foi o toast component, depois a remoção das notificações, Manifest V3, FLoC, e agora isto
Empresas vão agir como empresas, mas quais opções restam para usuários e futuros usuários? Pessoas que hoje não se importam, mas que talvez venham a achar útil a forma atual da internet
Não me importo se o Google esconder seus próprios produtos atrás de um muro acessível só por um navegador proprietário e impossível de modificar, mas preferia que não espalhasse isso por toda parte. Ainda estamos “aproveitando” o reCAPTCHA, impossível de resolver em qualquer lugar
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Faz parte de uma verificação por desafio-resposta que aparece quando o servidor considera o tráfego suspeito. Em geral dá para evitar mantendo o login, não bloqueando cookies e não usando Tor ou outros meios de ocultar a rota
Mas uma API muito parecida parece já estar implementada no Safari desde 2022. Pelo visto, quando o marketing é bem feito, o impacto é grande. Quase não vi isso ser discutido
https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
A parte interessante é esta: “nós não precisamos nem queremos, de fato, os dados subjacentes coletados nesse processo; só queremos verificar se o visitante está falsificando o dispositivo ou o user agent”
No exemplo, quando um visitante abre o Safari em um iPhone e tenta visitar example.com, a Cloudflare solicita um token ao navegador e, como o Safari oferece suporte a PAT, pede uma atestação ao Apple Attester por meio de uma chamada de API
O atestador da Apple verifica vários componentes do dispositivo para validar sua legitimidade e então faz uma chamada de API ao Cloudflare Issuer; o Cloudflare Issuer cria um token e o envia ao navegador, que o repassa ao servidor de origem
A Cloudflare recebe esse token e decide que não precisa mostrar um CAPTCHA a esse usuário. Para mim isso soa muito parecido com WAI, mas, como o nome é “Privacy Access Tokens”, obviamente deve ser algo bom, né...?
Atualização: houve uma thread no HN alguns dias atrás, mas eu deixei passar: https://news.ycombinator.com/item?id=36862494
Por exemplo, PAT, no fim das contas, só prova algo no nível de “não é um bot”, então não exige troca de dados sobre o dispositivo e o ambiente do navegador. Já o WEI precisa desses dados para possibilitar casos de uso como o DRM para a web de que estamos lendo
https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Mas navegadores mentem sobre quem são há décadas. E qual é a diferença entre um dispositivo/user agent falso e um dispositivo/user agent incomum? Do ponto de vista deles, provavelmente nenhuma
Foi por isso que comecei a olhar para o gopher. Acabei de conhecer também o gemini, e talvez ele seja ainda mais interessante para mim
As empresas estão vendo o sucesso da Apple e fazendo tudo o que podem para criar jardins murados. E, em menor grau, parece que as empresas também começaram a influenciar os rumos do desenvolvimento do Linux
Fico me perguntando quando teremos DRM totalmente embutido para verificar sites de streaming
https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...
Quando APIs como o Android SafetyNet surgiram, a linha de defesa já era: “se não der para usar o app, é só usar o site no navegador”. As empresas não vão parar até terem controle absoluto de todas as camadas da pilha
E algo como WEI pode ser perfeitamente implementado nesses protocolos também, assim como em cima de HTTP. É um conceito completamente separado
Ler coisas assim me deixa extremamente cínico. Dá aquela sensação de “de jeito nenhum, não na minha frente!”, mas aí percebo que o máximo que posso fazer é assinar uma petição ou mandar um e-mail para algum político que não faz a menor ideia do que isso significa
O motivo de isso também não importar para meu irmão da geração Z e para os TikTokers da idade dele é o mesmo. As pessoas não ligam. Têm problemas maiores, como com que dinheiro vão pagar o aluguel amanhã, e há espetáculos mais divertidos, como ver alguém fingir ser um NPC por 5 horas seguidas e ainda dar dinheiro a essa pessoa
Muitas pessoas com quem trabalhei eram parecidas. Estão acostumadas a perceber que estão sendo completamente passadas para trás e são viciadas em reclamar, mas só dentro de um grupo muito estreito que compartilha interesses em comum
Esta é a revolução mais desanimadora. DNS, a bagunça do JavaScript, neutralidade da rede, o mundo dos navegadores: sempre há um tumulto, mas nada se concretiza; a responsabilidade é sempre empurrada para depois, e mais tarde outro tópico aparece para lembrar os bons velhos tempos
Mas, no fim, o que eu posso fazer? Devo recusar o PR?
Basta que se importem as pessoas com influência suficiente dentro do setor e da esfera regulatória. E, na prática, elas estão se importando. Todo mundo está irritado com esse problema e recomendando coisas, e empresas e organizações estão escrevendo textos
É só continuar assim, pressionar outras empresas a rejeitarem isso ou pressionar para que seja barrado por regulação. O que o Google mais teme é a divisão. Se ele insistir nisso, podemos contatar parlamentares de forma organizada para levantar preocupações e pedir regulação ou a divisão do Google por práticas anticompetitivas
As pessoas se importam. Só que há etapas para criar pressão da opinião pública. O público precisa tomar conhecimento do problema, aprender e entender os aspectos técnicos e organizar oposição. Não é necessariamente um processo rápido
[1] https://news.ycombinator.com/item?id=36877310
Supondo que o objetivo principal seja impedir o bloqueio de anúncios, fico me perguntando se meu bloqueador de DNS pinhole será afetado. Se o novo padrão fizer todo mundo migrar para bloqueadores de DNS, mesmo que isso imponha um pequeno custo ao usuário, o panorama geral pode melhorar
Quando as pessoas acreditam que o sistema é livre e aberto e não sentem necessidade, há pouquíssima adoção ou apoio a ferramentas de privacidade. Até a fronteira mudar, todo mundo é tratado como alguém usando chapéu de papel-alumínio
As pessoas deveriam entender melhor, de modo geral, coisas como proteção de dados pessoais e controle sobre serviços, mas vão continuar acomodadas até que as outras opções desapareçam e elas precisem recuperar o controle
Usuários de eletrônicos de consumo não são pessoas que “votam” sobre conteúdo. Sistemas computacionais fechados, hierárquicos, privados e movidos por decisões internas estão chegando aos pontos de decisão
Ainda bem que há pessoas que veem valor em saber dessas coisas. Quando tento divulgar, em geral encontro ignorância
Isso não é só coisa do Google. Eles parecem apenas querer ser os primeiros
A “teoria da conspiração” que chamo de bloqueio digital é exatamente isso. É mais um passo nessa direção e, pelo que isso faz, estamos chegando perto demais do destino
Eles agem como se verificar que todos estamos usando o navegador do Google de alguma forma nos deixasse mais seguros. Como se os desenvolvedores deles fossem perfeitos
Essa arrogância das big techs é surpreendente e irritante
“Você pode visitar nosso site. Primeiro, mostre suas algemas digitais”
Alguém pode explicar como se eu tivesse cinco anos? O que vai acontecer? O Firefox vai parar de funcionar na maioria dos sites? O uBlock vai deixar de funcionar? Vou ter que enviar uma varredura da retina antes de acessar sites da World Wide Web?
Bom, eu já vivi sem internet antes. Instalei o Microsoft Flight Simulator por disquetes. Desta vez, só vai ter um pouco mais de disquetes. Nada demais
O Linux pode deixar de funcionar, exceto talvez builds do Ubuntu e da Red Hat. E isso só depois que adicionarem suporte. Pode demorar, porque será necessária uma longa cadeia de verificação passando pelo navegador, sistema operacional, kernel, ambiente de boot e TPM, e será preciso convencer o Google de que essa cadeia não é fraca o bastante para ser hackeada
Bloqueadores de anúncios serão excluídos em algum momento. E nem poderemos voltar aos tempos de usar o Flight Simulator em disquete. Bancos, passagens aéreas e ingressos de shows, até mesmo o pediatra do seu filho, vão exigir isso
Não porque os médicos estarão lendo com entusiasmo as novas especificações da web, mas porque acabarão usando plataformas de serviços médicos que dependem dos padrões da Cloudflare, apreciados pelo pessoal de segurança por reduzirem bots e DDoS
No fim, acabaremos usando um sistema operacional murado, que vigia e anuncia sem parar, como TV a cabo. Um grande alvoroço pode fazer o Google recuar um pouco ou fazer promessas que ele não pode nem pretende cumprir
A única solução real é usar o governo para impedir que os usuários percam o controle
Isso aí! Vamos todos usar navegadores baseados em Chromium!
O que poderia dar errado?