- A proposta do Google para incluir no Chrome a Web Environment Integrity (WEI) foi criticada por permitir que sites verifiquem o ambiente de execução do cliente, o que poderia efetivamente transformar a web em DRM
- A WEI é estruturada para provar que o usuário está executando um cliente web em um ambiente como um “dispositivo Android seguro” e transmitir isso por meio de um token assinado criptograficamente
- Apesar da justificativa de prevenção a fraudes, a Mozilla entende que usos existentes da web, como tecnologias assistivas, testes automatizados, arquivamento e spiders de mecanismos de busca, podem ser bloqueados
- A Brave afirmou que a WEI transfere poder para grandes sites e plataformas, em vez de para os usuários, e que não a incluirá no navegador Brave
- Inserir atestação remota em padrões web pode ser usado não apenas para fins benignos, mas também para bloquear navegadores, limitar bloqueadores de anúncios e reforçar o controle das plataformas
A polêmica de DRM na web provocada pela proposta de WEI no Chrome
- O Google propôs incluir no Chrome a Web Environment Integrity
- Esse sistema permite que sites solicitem um token que comprove fatos essenciais do ambiente em que o código cliente é executado
- Por exemplo, poderia mostrar se o usuário está executando um cliente web em um “dispositivo Android seguro”
- O token usa assinatura criptográfica para impedir adulterações
- O site decide por conta própria se confia no veredito retornado pelo attester
- Pela explicação do Google, na prática o attester provavelmente viria do sistema operacional ou da plataforma
- O documento da proposta foi inspirado em sinais de atestação nativos já existentes, como o App Attest da Apple e a Play Integrity API do Android
- Na prevenção a fraudes, vereditos determinísticos e alta cobertura podem ser úteis, mas permanece o risco de sites excluírem determinados attesters ou navegadores que não consigam fornecer atestação
Como a atestação remota muda as relações de poder no computador
- Segundo a explicação de Cory Doctorow, há cerca de 20 anos a Microsoft apresentou à Electronic Frontier Foundation uma visão de trusted computing chamada Next Generation Secure Computing Base, ou Palladium
- O núcleo da ideia era a atestação remota (remote attestation): colocar um dispositivo separado dentro do computador do usuário para observar bootloader, sistema operacional, aplicativos, extensões, estado do kernel etc. e enviar um manifesto assinado a um verificador externo
- A atestação remota pode ser um recurso poderoso para permitir que pessoas que não confiam umas nas outras verifiquem a configuração dos computadores umas das outras
- Também são possíveis usos benéficos e consensuais, como uma empresa verificar a configuração do dispositivo de um funcionário em um ambiente de trabalho remoto
- Ao mesmo tempo, ela pode ser usada para exclusão, como impedir que um documento do Word seja aberto no OpenOffice ou diferenciar SMB de Samba para bloquear acesso à rede
- A questão central é se o computador deve dizer a “verdade” a terceiros mesmo quando o usuário não quer, e se outras pessoas devem poder acionar remotamente uma função que o usuário não controla
Por que Mozilla e Brave se opuseram
- A Mozilla se opôs à WEI em discussões no GitHub, afirmando que ela contraria a web aberta
- A posição da Mozilla é que mecanismos que limitam escolhas prejudicam a abertura do ecossistema web e também não são bons para os usuários
- Os casos de uso propostos dependem da capacidade de “detectar tráfego não humano”
- Essa abordagem pode bloquear usos existentes da web que recebem conteúdo destinado a humanos para transformá-lo, testá-lo, indexá-lo ou resumi-lo, como tecnologias assistivas, testes automatizados, arquivamento e spiders de mecanismos de busca
- A Mozilla considera que salvaguardas como “holdback”, que aleatoriamente deixam de gerar atestações, provavelmente terão efeito limitado e serão insuficientes para resolver as preocupações
- A Brave também se opôs à Web Environment Integrity e afirmou que não incluirá a WEI no navegador Brave
- A Brave entende que a WEI desloca poder dos usuários para grandes sites, especialmente sites operados pelo Google
- Mesmo usando Chromium, a empresa não pretende incluir a WEI
- A Brave também está avaliando formas de limitar recursos semelhantes à WEI, mas mais restritos, como partes do WebAuthn ou Privacy Keys, dentro de um escopo que não quebre usos benignos
Preocupações com bloqueio de anúncios e controle de plataformas
- Alex Ivanovs apontou como um dos efeitos colaterais da WEI a possibilidade de o Google impedir, na prática, o bloqueio de anúncios
- Se a entidade que controla o attester verifica o ambiente do cliente, surge a preocupação de que o Google ou outras grandes empresas de tecnologia possam manipular pontuações de confiança e decidir quais sites ou ambientes de navegador serão considerados confiáveis
- A Brave conecta a WEI a uma série recente de propostas do Google para a web
- A empresa considera que WebBundles dificulta que usuários bloqueiem ou filtrem conteúdo de páginas que não desejam
- A empresa considera que First Party Sets dificulta que usuários julguem quais sites podem rastreá-los
- O enfraquecimento de extensões de navegador via Manifest V3 reduz o controle de extensões de bloqueio de anúncios e rastreadores, como o uBlock Origin
- A Brave afirmou que desativa ou modifica esses recursos no navegador Brave
Onde deve estar o poder na web aberta
- Os problemas de fraude e abuso que a WEI tenta abordar realmente existem, mas a abordagem proposta muda fundamentalmente a estrutura da internet aberta
- A principal crítica é que, em vez de empurrar o poder para as bordas da rede, ela o centraliza nos sites e nas plataformas
- Mesmo descartando explicações conspiratórias como vigilância governamental, a proposta em si é ruim, perigosa e contrária aos princípios da web aberta
- Mesmo que as motivações do Google sejam bem-intencionadas, não há garantia de que uma ferramenta assim continuará sendo usada apenas com boas intenções
- Para apoiar a web aberta, é preciso se opor à WEI, e o Google também deve rejeitar essa proposta
1 comentários
Opiniões no Hacker News
Já passou da hora de fazer lobby pesado para que o Google seja alvo de uma separação antitruste
Este plano de DRM é abuso de posição monopolista e dá ainda mais justificativa para pressionar politicamente por uma separação forçada. Como a Alphabet cresceu por meio de aquisições, a divisão também é relativamente clara: Google ficaria apenas com busca e anúncios de busca; DoubleClick, com anúncios em sites de terceiros; Analytics, com serviços para sites; Cloud, com serviços de datacenter; Android, com dispositivos; Chrome, com o navegador; YouTube, com streaming; Waymo, com direção autônoma; e a Alphabet ficaria com o restante
Se o Chrome fosse separado do Google e do DoubleClick e tivesse de competir por participação de mercado, haveria menos incentivo para impedir o bloqueio de anúncios do DoubleClick ou do Google. A ação do estado do Texas e de procuradores-gerais de vários estados já está em andamento, e movimentos do Google para consolidar tecnicamente seu monopólio ajudam esse tipo de processo. Se isso virar uma grande pauta política, é bem provável que o Google recue nessa proposta seguindo orientação de advogados antitruste
https://www.bloomberg.com/news/articles/2023-06-05/google-an...
https://www.lanierlawfirm.com/google-antitrust-lawsuits-expl...
O Google é o único vendedor de um ativo digital, a publicidade, e também o único operador do mercado desse ativo; tem um sistema fechado de transações algorítmicas sem auditoria pública, e não há um livro-razão público mostrando quem deu lance e quanto. Ao mesmo tempo, é também um grande cliente que anuncia seus próprios produtos
Os anunciantes precisam instalar código de rastreamento nos sites, então o Google consegue ver transações, receita e clientes. Somando isso a algoritmos fechados e ao mercado de anúncios, o potencial de manipulação é enorme. A separação mais importante seria desmembrar o negócio de publicidade do restante, incluindo a busca; mesmo que não seja fácil, a mudança é necessária. Na prática, uma regulamentação forte do mercado de publicidade online, firewalls de separação entre unidades de negócio e auditorias de plataforma parecem mais viáveis
A missão de uma empresa que se entranhou profundamente até em infraestruturas como a web e o e-mail, “organizar as informações do mundo”, parece ter se transformado em “colocar o máximo possível de intermediários pagos diante das informações do mundo”, ou até bloquear completamente parte dessas informações
Não devemos permitir que uma única empresa gerencie, na prática, as informações do “mundo”. Não sei exatamente como a Alphabet deveria ser dividida, mas concordo que precisa ser. Se a informação deve ser livre, também precisamos repensar como proteger essa liberdade em um mundo em que o Google não finge ser seu guardião
https://techcrunch.com/2023/04/25/google-cloud-turns-profit-...
Perder dinheiro em si não é problema. É preciso investir antes de dar lucro, e serviços como o Google Cloud podem virar máquinas de dinheiro quando se consolidam. Dito isso, os provedores de nuvem estão despejando dinheiro em terceiros e parceiros para fazê-los vender e implantar em empresas. Uma empresa holandesa de leilão de flores estava migrando centenas de serviços para a AWS, e um novo gerente de TI parecia ter conexões com a Amazon na venda da AWS. Depois que se entra, sair de novo custa milhões de dólares e anos, então movimentações horizontais da AWS para algo como GCP provavelmente não vão acontecer com frequência
O Chrome existe principalmente para que o negócio de publicidade obtenha mais dados e exerça influência sobre os rumos da web. Se você o separar, fora algum dinheiro vindo do ChromeOS, ele não terá fonte de receita, e o Chrome dificilmente se sustentará
Entendo que isso seja um instrumento político para pressionar o Google a abandonar esta proposta. Mas dividir Google/Alphabet é irrealista, e eu não gostaria disso a menos que a Microsoft também fosse dividida ao mesmo tempo. Caso contrário, a Microsoft poderia voltar a dominar a web, e não quero reviver aquela época
Isso basicamente derruba a alegação do Google de que os OEMs têm escolha e de que não há monopólio do Google. O problema é que o Google é bom em ficar fora do radar. Só uma minoria que não usa produtos da Apple, Google ou Microsoft percebe; políticos, o público e pessoas influentes quase não sabem disso
É provável que ninguém se importe com este caso também. É complexo demais para explicar, então até as pessoas que deveriam se importar provavelmente vão olhar para o outro lado de novo. O ponto central é que a minoria preocupada não é barulhenta o suficiente. Precisamos continuar pressionando bancos e outros que bloqueiam Android sem Google, e também precisamos de uma lista pública dos serviços “bons” que restam. Por ora, só resta usar de fato navegadores livres e sistemas operacionais livres e levantar o problema o mais alto possível, nem que seja em lugares como o GitHub. Os mais barulhentos sobre liberdade na web são apenas web3 e crypto, mas, para mim, parecem pessoas tentando ganhar dinheiro com especulação enquanto criam hype
Todos nós tratamos os serviços do Google como ferramentas gratuitas e úteis, e foi assim que deixamos as coisas chegarem até aqui
Quando começamos a falar “o Chrome isso, o Chrome aquilo”, esquecemos que ele é, na verdade, uma ferramenta estratégica da maior agência de publicidade do mundo. Chrome, GMail etc. se encaixam todos em uma estrutura global de tecnologia de anúncios que empurra publicidade duvidosa e suga informações de identificação pessoal
O Google se infiltra na nossa vida usando monopólios e oligopólios. Precisamos espalhar o enquadramento de que o Google é uma empresa duvidosa. Não é uma companhia confiável; é uma gigante da publicidade, e não tem integridade. Se um banco usar o recurso de integridade do Google, ligue para o atendimento ao cliente dizendo, como um iniciante, que “não funciona”, prenda-os na linha por bastante tempo e, quando a conversa finalmente chegar a Integrity + Chrome, questione: “vocês estão do lado de uma agência de publicidade duvidosa? Achei que fossem um banco confiável”
No help desk, o que importa são métricas de fechamento de chamados e tempo de ligação; explosões emocionais não mudam nada
No fim, você paga primeiro com dados e depois paga de novo com dinheiro. A internet gratuita pode ser boa para alguns, mas todos nós pagamos o imposto da publicidade embutido no preço dos produtos que compramos. Se esse modelo inteiro de preços freemium fosse simplesmente proibido e voltássemos a pagar diretamente pelas coisas, como antes, muitos problemas poderiam ser resolvidos
https://httptoolkit.com/blog/apple-private-access-tokens-att...
Em breve talvez devamos temer ainda mais uma situação em que bancos exijam apenas dispositivos Apple
Em 2012, fiz entrevista para uma vaga de SRE no Google Ireland
Acabei não indo por questões familiares, mas por um tempo lamentei ter perdido a chance de resolver problemas na escala do Google e ganhar dinheiro no nível FAANG
Hoje esse arrependimento desapareceu completamente. É por causa de como o Google mudou e de como ele passou a entender seu papel no mundo. Ou talvez a natureza corporativa original dele tenha apenas ficado mais evidente. Nos anos 2000, eu acreditava que o Google era uma força do bem no mundo corporativo, mas agora tenho certeza de que não é nem um pouco. Isso me entristece, e temo o dano que ele acabará causando à internet de que gosto e ao mundo do FOSS
Não vejo o Google como uma entidade única com uma verdadeira natureza própria. No fim, é uma organização em que pessoas tomam decisões. Às vezes ele libera o VP8 como open source e cria valor mundial; às vezes conduz experimentos cujas intenções deveriam ter sido explicadas melhor
Sob Pichai, parece querer consolidar sua posição, matar concorrentes e transformar a WWW em GWWW
Mesmo quando comprou a infame DoubleClick, fiquei feliz porque acreditava que ele poderia melhorar o setor de publicidade online. Mas isso não aconteceu, e o Google acabou virando esse tipo de empresa de publicidade online de baixa qualidade
O Google inicial parecia formado por pessoas sinceras e corretas. Depois do estouro da bolha pontocom, todo mundo se agarrou à monetização para pagar as contas, e acho que ali foram plantadas as sementes do que existe hoje
O Google pode ter fingido defender alguma coisa, mas, desde que se tornou uma pessoa jurídica, sempre foi uma empresa má. Empresas funcionam assim por design
Como exemplo relacionado, o Google fez por mais de 10 anos, em seus próprios serviços, coisas do tipo “somente IE5+”. Ele não matou a concorrência dos navegadores com um bom produto, mas sim tendo ou comprando bons serviços e usando-os para forçar o Chrome aos usuários. Voluntariamente, por meio de bilhões de dólares em publicidade; involuntariamente, por meio de mentiras sobre compatibilidade e desempenho, ou bloqueando outros user agents
O IE perdeu espaço para os antecessores do Firefox enquanto a Microsoft se acomodou, achando que tinha vencido, e desmantelou a equipe do IE. O Firefox perdeu a disputa quando o Google tornou o Chrome absurdamente rápido e, depois de ficar para trás repetidas vezes, acabou perdendo quase toda sua participação. A dominação do Chrome e o abuso da posição de mercado do Google não são bem-vindos, mas, durante a maior parte de sua vida, o Chrome foi um bom produto
https://www.businessinsider.com/google-sergey-brin-employees...
Empresas tentam ganhar dinheiro ou acumular alavancagem. Claro que também há empresas ruins em execução ou competição. No começo, criaram alavancagem fazendo coisas boas; agora estão na fase de usar essa alavancagem para ordenhar a vaca leiteira pelo maior tempo possível
Dispositivos de computação são agentes do usuário mais próximos do que médicos, clérigos ou advogados
Compartilhamos informações mais íntimas com eles, e nossa capacidade de levar uma vida normal sem eles é muito menor. Computadores mediam cada vez mais nossas interações com outras pessoas e com o mundo, e também são necessários para comunicação e acesso a serviços essenciais. Como são objetos que colocamos dentro de casa e até no quarto, devem agir no melhor interesse do usuário e, no mínimo, não devem agir contra ele
Isso não deveria ser uma exigência especial, mas sim uma premissa básica. Mesmo quando o conceito de software livre surgiu, o respeito ao usuário estava no centro. O desrespeito do passado em geral era rentismo, preços excessivos, indiferença a recursos e bugs, ou regras favoráveis ao autor. A possibilidade de software agir de forma ativa e intencional contra o usuário existia, e as liberdades de inspecionar, modificar e compartilhar eram, em teoria, uma resposta a esse risco. Mas, na época, isso não era um problema comum. Agora, softwares e sistemas que traem ativamente o usuário se tornaram comuns e normalizados, e a maioria parece nem perceber isso
Para mim, parece que já é tarde demais
Tenho a forte impressão de que a maioria simplesmente não liga, e que a maioria nem quer saber. A maioria das pessoas que conheço também é assim; quando perguntam por que não instalo o app mais recente, me interrompem antes que eu consiga explicar privacidade, dependência, perda de acesso a recursos, direito ao reparo etc.
Pessoalmente, estou tentando dedicar o máximo de tempo possível a aprender alternativas como Gemini, apps do Fediverse e telefones Linux. Ao mesmo tempo, mantenho um notebook “mainstream” separado, usado só para serviços quase essenciais, como banco, sem instalar nada nele e normalmente desligado
O mesmo vale para corrupção nos altos escalões do governo e do Judiciário, centros secretos de detenção e tortura, e guerras ilegais por lucro. É impossível prestar atenção em tudo o que acontece, e também é irracional esperar que as pessoas saibam ou se importem com tudo
Além disso, a maioria dos cidadãos fica a apenas dois contracheques de cair na pobreza. Já lobistas têm acesso aos tomadores de decisão e dinheiro para pressionar por mudanças concretas. Essa estrutura foi projetada assim, e o Google, como outras empresas, apenas se aproveita dela. Culpar “as pessoas” é culpar a vítima
O texto aplicou à WEI uma ótima citação de Doctorow sobre Secure Computing
“Mesmo que você queira que seu computador minta por você, ele deve poder ser obrigado a dizer a verdade? Deve haver dentro do seu computador um dispositivo que você não controla e que outra pessoa pode acionar remotamente?”
É uma aplicação adequada, e é uma questão fundamental cujas respostas variam conforme a cultura e as experiências passadas de abuso por governantes que cada indivíduo e organização tiveram. Pessoalmente, sou contra
Se o contexto for um chip soldado que não pode ser removido e que relata a “verdade” sobre o kernel etc., acho que não há como saber se o computador está dizendo a verdade ou não. Basta ir uma vez à DEF CON para perceber. Sempre há um jeito de entrar, sempre há um hack. Quanto mais difícil você torna o hack, mais os geeks da DEF CON ficam motivados
Além disso, “outra pessoa” nunca significa “só as pessoas que você quer”. Isso inevitavelmente inclui criminosos, stalkers e governos autoritários. Portanto, a resposta é simplesmente “não”
Se um carro autônomo não age necessariamente em favor do dono, mas segue “o correto”, isto é, a verdade, então, numa colisão inevitável, a questão passa a ser o que priorizar: os interesses do dono atual, os interesses da fabricante ou o interesse médio de todos
O Google nunca defendeu nada de fato; do no evil era, em grande parte, marketing
Basta olhar para os anos 2010
https://nakedsecurity.sophos.com/2011/08/26/real-canadian-ph...
“Não coletamos dados pessoais”
https://europe.googleblog.com/2010/04/data-collected-by-goog...
“Ah, coletamos”
https://googleblog.blogspot.com/2010/05/wifi-data-collection...
O conluio salarial do Google também remonta a 2001
https://www.cnet.com/tech/tech-industry/apple-google-seek-ap...
Um “efeito colateral” disso é que o Google passa a poder, na prática, impedir bloqueio de anúncios
É claro que muita gente vai ver isso não como um efeito colateral, mas como o objetivo final
Todo mundo parece aceitar isso naturalmente como DRM
O argumento real é que sites usariam esse sinal para permitir ou negar acesso, e isso já é possível de várias formas. O Google ou outros fornecedores de navegadores não conseguem determinar como um site usa ou abusa de um recurso.
Para prevenção de fraude, é preciso ter uma decisão determinística e ampla cobertura, mas existe uma tensão pelo risco de sites excluírem determinados atestadores ou navegadores incapazes de atestação. Esse risco já existe e acontece de fato. O motivo de não ser generalizado não é que seja impossível, mas que é impopular. Sites como bancos, que você é obrigado a usar, fazem isso todos os dias, e as pessoas aceitam porque não têm escolha.
Muitos textos repetem o argumento de “DRM” sem explicar como isso é diferente, o que o Google tem a ver com o tratamento que os sites dão aos usuários ou qual seria a solução. Toda iniciativa do Google deve ser vista com suspeita, mas aqui só vejo uma repetição papagueada de possíveis abusos, sem pensamento crítico. Os textos sobre esse tema apenas reorganizam as palavras e não acrescentam valor; parecem ter utilidade semelhante se fossem gerados automaticamente por IA.
Dá para descobrir quais técnicas de fingerprinting são usadas e contorná-las. Por exemplo, o yt-dlp faz isso em certa medida. No Android também havia bastante suporte para fazer root ou uma ROM customizada parecer um Android de fábrica, para continuar usando apps de bancos. Mas, dependendo do nível de SafetyNet usado pelo app, isso agora é literalmente impossível.
Antes da atestação baseada em TPM, você podia controlar o próprio dispositivo. A atestação do Android SafetyNet se baseia em uma raiz de confiança que uma ROM customizada não consegue fornecer, então não dá para contornar. Mesmo que você consiga oferecer sua própria implementação, isso não adianta se todos aceitarem apenas a fornecida pelo Google. O LineageOS também tem sua própria implementação do SafetyNet, mas a adoção é quase inexistente. O WEI é, na prática, uma extensão do SafetyNet para a web, e é diferente porque, fundamentalmente, tira de você o controle sobre o próprio dispositivo.
O primeiro objetivo da proposta é “permitir que servidores web avaliem a autenticidade do dispositivo e a representação honesta da pilha de software e do tráfego proveniente do dispositivo”. Ou seja, permitir que servidores web restrinjam ou gerenciem digitalmente o direito de acessar conteúdo a partir do dispositivo e da pilha de software escolhidos pelo usuário.
Não há dúvida de que isso é DRM. O Google afirma que isso será usado apenas para diferenciar bots e tráfego abusivo, mas a tecnologia pode ser facilmente abusada, e o Google tem tanto o incentivo quanto a capacidade para isso. A pergunta “que solução você propõe?” é como perguntar como resolver o problema de alguém na rua apontar uma arma para a sua cabeça e exigir seu dinheiro, sendo que a pessoa ainda não tem o seu dinheiro na mão. E ainda por cima com a condição de que você nem pode pedir que ela baixe a arma antes de resolver esse problema.
Na melhor das hipóteses, isso parece uma visão extremamente ingênua. Recursos que podem ser usados para bloquear conteúdo ou vigiar usuários acabam sendo usados assim. É o caso de todos os recursos que existem hoje, e afirmar o contrário beira a má-fé.
Se “fornecedores de navegadores não são responsáveis pelo abuso dos sites”, então tudo bem deixar acesso ao sistema de arquivos, localização, câmera e microfone ativado por padrão, sem caixa de diálogo de permissão? Podemos ressuscitar Java e Flash também. Afinal, se os sites abusarem, a culpa não é dos fornecedores de navegadores.
Isto é diferente. Uma atestação significativa do ambiente em que o navegador roda não pode ser alcançada sem uma cadeia de confiança completa começando pelo boot seguro, o que permite ao Google e ao site visitado verificar um bootloader aprovado pelo Google, um sistema operacional aprovado pelo Google, drivers e softwares aprovados pelo Google. Pior ainda: poderiam até exigir software aprovado pelo site.
Você entregaria facas afiadas e armas carregadas a crianças e ficaria surpreso se alguém se machucasse? Se deixarmos esse recurso se tornar possível, todos nós teremos de arcar com as consequências. E é bem claro quais serão essas consequências. Não devemos ser idiotas.
É tão difícil assim imaginar algum gerente de produto do YouTube calculando as perdas causadas por bloqueadores de anúncios e pedindo à equipe do Chrome que os bloqueie?