- Vivaldi considera que Web Environment Integrity le daría a los sitios web autoridad para decidir si confían en un navegador o una plataforma, lo que podría afectar la accesibilidad y la competencia de la web abierta
- Esta propuesta se estructura en torno a un attester externo que verifica el entorno de ejecución; aunque se presenta como una forma de evitar interacciones falsas, podría funcionar como un DRM para sitios web
- Si las decisiones de confianza se concentran en unas pocas empresas, aumenta el riesgo de que nuevos navegadores, navegadores pequeños, software heredado y usuarios de Linux queden relegados en el acceso a la web
- Aunque los navegadores se nieguen a implementarla, si los sitios web exigen la API podrían bloquear a los usuarios, y los servicios de Google o Google Ads podrían actuar como presión para adoptarla
- Al 3 de noviembre de 2023, Google decidió no avanzar con Web Integrity API, pero la diversidad de navegadores y motores de navegador sigue siendo necesaria
Qué pretende hacer Web Environment Integrity
- Web Environment Integrity es una propuesta para que los sitios web puedan verificar mediante una API si pueden confiar en el navegador y la plataforma desde los que se accede
- La confianza sería determinada por un tercero autorizado, llamado attester
- El objetivo se acerca a impedir interacciones “falsas” en distintos sitios web, aunque los detalles del método no están claros
- Los casos de uso pueden parecer razonables en la superficie, pero el efecto real podría acercarse a un DRM para sitios web
- Que el primer caso de uso sea verificar la autenticidad de interacciones publicitarias puede vincularse con el fortalecimiento de la plataforma publicitaria de Google
La exclusión que genera decidir si un navegador es confiable
- Si una entidad específica decide en qué navegador confiar, deja de haber garantía de que cualquier navegador sea permitido automáticamente
- Un navegador nuevo partiría, por defecto, desde un estado no confiable y tendría que demostrar su confiabilidad de una manera que convenza al attester
- Los usuarios de software heredado que no soporte la especificación podrían quedar excluidos de la web con el tiempo
- Aunque la especificación mencione el riesgo de excluir proveedores, podría limitarse a una respuesta tibia sin una solución real
Attesters por plataforma y preocupaciones de competencia
- El principal ejemplo de attester en la especificación es Google Play en Android
- En esta estructura, Google decidiría en qué navegadores confiar dentro de su propia plataforma
- Vivaldi considera difícil esperar que Google juzgue de forma justa
- Se menciona la posibilidad de que, en Windows, Microsoft cumpla un rol similar mediante Windows Store, y en Mac lo haga Apple
- En este escenario, al menos Edge y Safari tendrían altas probabilidades de ser considerados confiables
- Los demás navegadores pasarían a depender del criterio de Google, Microsoft y Apple
- No hay una respuesta clara respecto de Linux
- No está claro si Linux quedaría completamente excluido de la navegación web o si Canonical se convertiría en el decisor mediante el repositorio de paquetes snaps
- Para los usuarios de Linux, sigue siendo una situación desfavorable
Incertidumbre sobre distinguir personas, automatización y extensiones
- La especificación sugiere con fuerza el objetivo de verificar si una persona real interactúa con un sitio web, pero no está claro cómo lograría eso
- Las preguntas que quedan son las siguientes
- Si se usarían datos de comportamiento para ver si el usuario actúa como una persona
- Si esos datos se entregarían al attester
- Si las herramientas de accesibilidad que dependen de la automatización de entradas del navegador harían que el navegador dejara de ser confiable
- Qué impacto tendría en las extensiones
- La especificación actual contempla excepciones para modificaciones del navegador y extensiones, pero las extensiones pueden facilitar la automatización de interacciones con sitios web
- Si se mantienen las excepciones, a los atacantes les resultaría más fácil eludir el sistema; si se reducen, surge la posibilidad de que también se apliquen restricciones a las extensiones
Por qué es difícil negarse a implementarla
- Si un navegador no implementa Web Environment Integrity, podría convertirse en un navegador no confiable
- Si los sitios web exigen esta API, podrían rechazar a los usuarios de ese navegador
- Google cuenta con medios para impulsar la adopción por parte de los sitios web
- Podría hacer que sus propios servicios dependan de esta función
- No poder usar sitios web de Google podría ser fatal para la mayoría de los navegadores
- También podría exigir el uso de la API en sitios que usan Google Ads
- Si el primer objetivo es evitar clics publicitarios falsos, solo con integrarla a Google Ads la adopción de la API podría expandirse rápidamente
Posibles frenos legales y sus límites
- Vivaldi considera probable que la ley de la UE no permita que unas pocas empresas tengan un poder tan grande para decidir qué navegadores son aceptados
- Los attesters podrían estar bajo una fuerte presión para ser lo más justos posible
- Sin embargo, los procesos legislativos y judiciales son lentos, por lo que el daño podría ya haberse producido mientras gobiernos y tribunales lo revisan
- Si la propuesta avanza, podrían venir tiempos difíciles para la web abierta, y los proveedores pequeños podrían verse especialmente afectados
Propuestas anteriores de Google y dominio del mercado
- Se considera que el dominio de Google en el mercado de navegadores tiene el potencial de convertirse en una amenaza existencial para la web
- Vivaldi cree que Google ya presentó antes propuestas perjudiciales para la web, y cita como ejemplos FLOC, TOPIC y Client Hints
- Web Environment Integrity se ubica como una continuación de esa tendencia, y se la trata como una amenaza mayor porque podría hacer que Microsoft y Apple colaboren con Google para limitar la competencia entre navegadores y sistemas operativos
- A largo plazo, Google debería quedar en un entorno competitivo más equilibrado, y para eso hacen falta tanto legislación como una reducción de la cuota de mercado de Google
Actualización del 3 de noviembre de 2023
- Google decidió no avanzar con Web Integrity API
- Vivaldi lo considera algo muy positivo para la neutralidad de la web abierta
- Sin embargo, cree que Google se mueve más por sus propios intereses que por el beneficio de toda la web, y considera que habrá que ver con qué reemplaza esto
- Así como después de FLOC llegó Topics, queda la sospecha de que pueda aparecer una especificación que parezca menos intrusiva, pero que sea perjudicial para los usuarios
- También le resulta sospechoso que esta decisión coincida con el reciente anuncio de Google de trasladar su modelo de cobro publicitario desde el pago por clic hacia el pago por impresión
- Para que una sola entidad no pueda decidir el futuro de la web, es importante la diversidad de navegadores y motores de navegador
1 comentarios
Opiniones de Hacker News
Que Google diga algo así es especialmente absurdo. SafetyNet de Android supuestamente existe por seguridad, pero en la práctica termina reduciéndola mucho.
Bloquea ROMs de terceros modernas y seguras, mientras deja pasar las ROMs terriblemente vulnerables que entregan los fabricantes. Lo dejan así porque, si las bloquearan, habría una fuerte reacción de los usuarios.
Al final funciona más como dependencia del proveedor que como una mejora de seguridad significativa para el usuario promedio, e impide que los usuarios avanzados mejoren su seguridad sin comprar hardware nuevo. Hay que refutar con más fuerza la idea de que este tipo de attestation le da un beneficio legítimo al usuario.
https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
https://github.com/RupertBenWiser/Web-Environment-Integrity
Podemos usar clientes web que no filtren datos de más, pero Google seguramente preferiría que no los usáramos. También podrían etiquetar a todos los clientes web no aprobados como “bots” y todo uso de la web que no revele de más la información del entorno del usuario como “fraude”.
La mentalidad de todo o nada, que ve todo uso de la web como una actividad comercial y trata a todos los sitios web como contenedores de publicidad, se parece bastante a una distorsión cognitiva típica.
https://grapheneos.org/articles/attestation-compatibility-gu...
SafetyNet en sí ya tiene fecha de retirada.
https://developer.android.com/training/safetynet/deprecation...
Las funciones polémicas de los navegadores siempre son parecidas. Si no las implementas, la experiencia de usuario puede empeorar en los sitios web que las exigen.
Pero si haces software, tienes que decidir por tu cuenta qué es lo mejor para tus clientes. Si la única esperanza de no seguir esto es que la UE regañe a Google, preocupa que no parezca haber voluntad de tomar una postura firme por cuenta propia.
Pero la attestation web es diferente. Si un sitio web la exige y el navegador no la implementa, en no pocos casos el usuario puede quedar completamente bloqueado en ese sitio.
Además, aunque Vivaldi implementara WEI, también es muy probable que las autoridades de attestation —Google, Microsoft, Apple— o el propio sitio web no reconozcan a Vivaldi como un entorno válido. Es dudoso que consideren un “entorno aceptable” a un navegador que le da demasiada libertad al usuario, como extensiones de bloqueo de anuncios, automatización del usuario o scripting.
Salvo por Encrypted Media Extensions, que aun así es mucho más limitado que WEI, no conozco estándares web que funcionen de esta manera.
Como ya bloqueo todos los anuncios, no simpatizo del todo con los desarrolladores que toman decisiones solo para maximizar los ingresos publicitarios, pero no es justo cargarles la responsabilidad diciendo “es tu decisión, simplemente niégate”.
Google intenta muchas cosas. Mozilla, Microsoft y Apple todavía son lo bastante fuertes como para enfrentarse a lo que consideran malas ideas, especialmente fuera de Estados Unidos.
Hasta ahora, parece que los hilos relacionados son más o menos estos. ¿Se me habrá pasado alguno?
Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)
“I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
Parece que lo marcaron usuarios con suficiente karma, pero durante un tiempo no aparecía como “[flagged]”, aunque tampoco salía en las primeras páginas ni recibía más recomendaciones, así que fue confuso. Me pregunto si habrá un retraso antes de que aparezca la marca “[flagged]”.
Si quieren protestar en serio, se podría hacer así: poner en cada sitio web código que verifique si el user agent implementó esta API y, si pasa la prueba, avisar que ese navegador no es bienvenido, explicando la razón.
#BoycottGoogle #BoycottChrome #BoycottBullshit
Como siempre, es un texto larguísimo sobre la WEI de Google, pero no menciona que Apple ya lanzó discretamente este barco, y por eso casi no recibió atención ni rechazo.
https://httptoolkit.com/blog/apple-private-access-tokens-att...
https://toot.cafe/@pimterry/110775130465014555
Es el lamentable estado de las noticias y blogs de tecnología: no miran el panorama completo y solo repiten el mismo drama.
En cambio, sigo interactuando con sitios web que usan Google Analytics o anuncios de Google. Si esos sitios empiezan a rechazar el navegador que elegí, en la práctica quedaré bloqueado de una parte considerable de Internet.
El 60% restante de los usuarios de Internet también podría verse prácticamente obligado a aceptar esta tecnología. Como la cantidad de usuarios afectados es uno o dos órdenes de magnitud mayor, hay motivos de sobra para hacer sonar la alarma.
El hecho de que el primer caso de uso sea verificar si una interacción con un anuncio es real es apenas el comienzo. La attestation podría terminar haciendo que los anunciantes exijan que el usuario esté realmente presente y mirando la pantalla
Podría convertirse en algo como el episodio “Fifteen Million Merits” de Black Mirror
https://www.creativebloq.com/sony-tv-patent
Trata de que los espectadores de TV tengan que gritar el nombre de una marca para saltarse un anuncio. Algo como tener que gritar “McDonald's!” para que desaparezca la Big Mac
Si no se las detiene, las empresas harán las cosas más locas y terribles, y de hecho ocurrirá
Ahora hacen falta dos cosas. Primero, una separación antimonopolio de Google entre búsqueda y publicidad. Segundo, un impuesto a la publicidad
Hay que hacer que a los motores de búsqueda les resulte económicamente perjudicial mostrar demasiados anuncios
Se trata de que Google use su posición de mercado como el mayor vendedor de publicidad y, al mismo tiempo, creador de Chrome/Chromium, el navegador más popular, para lograr que los usuarios no puedan evitar ver anuncios de Google en cualquier sitio web
En cambio, debería ser perjudicial tácticamente, porque los anuncios dañan la precisión y hacen que los usuarios se vayan. Pero sin un competidor mucho más preciso, se puede aguantar mucho tiempo
También hay señales esperanzadoras para la Búsqueda de Google. Algunos reportan que perdió precisión, y Google sigue cambiando su comportamiento característico para evitar el spam; en el proceso, está volviendo inútil el esfuerzo que la gente invirtió en SEO y en trucos para la Búsqueda de Google. Aunque puede que ambas cosas sean el mismo fenómeno
Ya veo aparecer en YouTube el mensaje “Este sitio web no es compatible con tu dispositivo”
No sería raro, ya que está bajo el control de Google y quiere que veas anuncios en el navegador oficial. También podría entrar temprano en apps bancarias
A largo plazo, se marchitará y morirá, o llevará a medidas antimonopolio. No se ve mucho otro camino
El 1% al que le importe lo hará. Pero es terrible que, en lo que antes era la web abierta, ahora tengamos que bajar a métodos subterráneos tipo “cracks”. También existe el riesgo de que te bloqueen si te detectan
No veo exactamente en qué es peor WEI que una mirilla en la puerta. Los bots ya son un gran problema y están empeorando. ¿Cuál es la alternativa?
Tanto en la vida real como en la web hay que saber con quién estás tratando. Tal vez esté solo, pero creo que WEI es algo bueno
Quien haya administrado un sitio sabe lo problemáticos que son los bots. Los sitios a los que no les importen los bots pueden no usar WEI. Claro que, en la práctica, lo usarán, porque los bots son un dolor de cabeza
Con el avance de la IA, esto era inevitable de todos modos. Pensar lo contrario roza el delirio
WEI tiene el potencial de convertirse en un verdadero DRM basado en “dispositivos aprobados”. Es muy invasivo y puede usarse, al antojo de las grandes empresas, para excluir lectores de pantalla, bloqueo de anuncios, protección contra rastreo, protección contra fingerprinting, descarga de contenido con copyright y cualquier uso que se les ocurra en el futuro
Literalmente es una puerta de entrada para convertir la web en la App Store o, en el mejor de los casos, en varias tiendas de apps. Si los bots son el problema, hay que hablar específicamente de eso. Hay muchos bots buenos y, de forma irónica, gran parte del tráfico de bots proviene de las grandes empresas que impulsan estas cosas. Para bots maliciosos existen listas de bloqueo de IP, y los bots de manipulación en zona gris son un problema, pero es otra cuestión por qué habría que ponerle esposas obligatorias a todos los usuarios
Un bot no es más que una computadora que hace lo que su dueño quiere. La postura a favor de WEI, en el fondo, es que te incomoda que otras personas usen sus computadoras de una forma que no te gusta, así que quieres quitarles el control de esas computadoras
Ahora que la IA fuerte está a las puertas, se ve un movimiento para quitarnos la computación de propósito general. Los peores resultados provienen de que la gente pierda la capacidad de controlar sus propias computadoras
Uso varios scripts personales de web scraping. Por ejemplo, tengo copias digitales de todos mis recibos de sueldo. Casi todas esas cosas dejarán de servir
El sitio de fondos de pensión de mi trabajo anterior solo permitía descargar los estados de cuenta mensuales manualmente, y detectaba la biblioteca Mechanize para mostrar una advertencia de prohibición de robots. Nadie iba a hacerlo manualmente todos los meses, pero tampoco permitía robots
Aun así, en ese entonces para bloquearlo había que instalar software especial en algún lugar, pero esto hace que ese tipo de prácticas sea mucho más fácil. También me preocupan herramientas como Selenium. Esto no es SSL
Hay mucha indignación moral frente a esta propuesta, y con razón. De hecho, debería ser aún más fuerte. Pero, al margen de eso, de todos modos no parece que esta propuesta vaya a funcionar bien
Si se implementa sin oposición, se convertirá en una web con DRM sólida y de ciclo cerrado, y atraerá la atención de los legisladores. Espero que así sea
Si siguen existiendo navegadores que se opongan, desde el punto de vista de los sitios web no será muy útil. Porque, de todas formas, tendrán que mantener mecanismos de respaldo para la detección de fraude. Si van a mantenerlos, podrían considerar mejor usar como solución única los métodos existentes, que permiten recopilar muchos más datos personales