1 puntos por GN⁺ 2023-07-27 | 1 comentarios | Compartir por WhatsApp
  • Web Environment Integrity, creada por cuatro ingenieros de Google, fue una propuesta de API que permitiría a los sitios web solicitar tokens de prueba del entorno del cliente del usuario, y Google la descartó el 2 de noviembre de 2023
  • Su objetivo aparente era aumentar la confianza y la seguridad en la web, por ejemplo con verificación de usuarios humanos en sitios de publicidad, identificación de participación falsa en sitios sociales y comprobación del cumplimiento de reglas en juegos en línea
  • Mozilla se opuso: aunque consideró que la detección de fraude y tráfico inválido es un problema que debe resolverse, dijo que no estaba claro qué avances aportaba esta propuesta en casos de uso reales y que tenía desventajas claras
  • Los críticos temían que, aunque los tokens no tuvieran identificadores únicos, si se abusaba de ellos podrían derivar en vigilancia y control, e introducir DRM en páginas web hasta hacer casi imposible el bloqueo de anuncios en el navegador
  • Al no quedar claro quién controlaría a los attesters ni quién decidiría los requisitos base, persiste el riesgo de dañar la web abierta, con grandes tecnológicas determinando puntajes de confianza y acceso a la web

Propuesta y descarte de Web Environment Integrity

  • Google propuso el “Web Environment Integrity Explainer”, un documento escrito por cuatro ingenieros de Google
  • Según una actualización del 2 de noviembre de 2023, Google descartó esta propuesta y enlazó por separado una publicación posterior relacionada
  • En una actualización del 26 de julio de 2023 se presentó un commit que parecía indicar movimientos para incorporar esta función en Chromium
  • Rupert Ben Wiser, uno de los autores de la propuesta, dejó un comentario en GitHub diciendo que percibía la reacción en contra

Casos de uso a los que apuntaba la verificación basada en tokens

  • La idea central era que los sitios web pudieran solicitar un token con evidencia sobre el entorno de código del cliente, para hacer más confiable el entorno de acceso
  • Los casos de uso planteados por la propuesta se resumen en tres
    • Un sitio web basado en publicidad verifica si el usuario es un humano y no un bot
    • Un sitio web social distingue entre participación de usuarios reales y participación falsa
    • Los usuarios de juegos en línea verifican si otros jugadores siguen las reglas del juego
  • Google afirmó que los tokens no incluirían identificadores únicos, pero los críticos consideraron que, si se usaban indebidamente, permitirían vigilancia y control injustificados
  • Mozilla se opuso en su issue de posición de estándares: aunque detectar fraude y tráfico inválido vale la pena, en esta propuesta no está claro cómo se lograrían avances sustanciales y las desventajas de adoptarla son claras

Preocupaciones sobre DRM, extensiones y control de los attesters

  • Los críticos consideraron que esta API se usaría para controlar el comportamiento de los usuarios en la web e introducir DRM de forma encubierta en páginas web, lo que podría hacer casi imposible bloquear anuncios dentro del navegador
  • Esta posibilidad genera preocupaciones no solo sobre la experiencia de usuario, sino también sobre la neutralidad de la red y la apertura de la web
  • Quién controla al attester que verifica el entorno del cliente se convirtió en un punto central de debate en la comunidad técnica
    • Existe la preocupación de que, si Google u otras grandes tecnológicas controlan al attester, podrían manipular los puntajes de confianza
    • Podría consolidarse una estructura en la que algunas empresas decidan qué sitios web son confiables
  • El impacto sobre las modificaciones del navegador y las extensiones también es poco claro
    • La propuesta afirma que Web Environment Integrity realiza la attestation de la legitimidad del hardware subyacente y la pila de software, y que no limita las funciones declaradas de la aplicación
    • Sigue siendo una zona gris cómo se aplica esta explicación en navegadores modificados o que permiten extensiones
  • La propuesta decía que el attester debía ofrecer servicio en las mismas condiciones a todos los navegadores que cumplieran ciertos requisitos base, pero no queda claro cómo se definirían esos requisitos base ni quién los haría cumplir

1 comentarios

 
GN⁺ 2023-07-27
Opiniones en Hacker News
  • Debates anteriores: Web Environment Integrity API Proposalhttps://news.ycombinator.com/item?id=36817305 (618 puntos/hace 4 días/442 comentarios), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 puntos/hace 7 días/94 comentarios), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 puntos/hace 6 días/44 comentarios)

    • Nota relacionada: también está el caso de la attestation web de Apple — Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - (530 puntos/hace 1 día/398 comentarios)
  • Esto no es simplemente “hacer que bloquear anuncios sea casi imposible”, como dice el título, sino hacer que solo se pueda navegar por internet desde Chrome, Safari y Edge, e impedir también las modificaciones o extensiones
    Sería hacerlo posible solo en macOS, Windows, Android e iOS, excluyendo distribuciones Android personalizadas como LineageOS o GrapheneOS
    Incluso incluiría hacer que solo Google pueda rastrear internet, bloqueando el crawling privado y a los motores de búsqueda competidores

    • También podrían hacer que la navegación web solo sea posible en CPU autorizadas por Apple, Microsoft y Google
      Entonces RISC-V todavía no podría, y aunque más adelante tuviera soporte, no se permitiría la competencia en CPU
      Los SoC también quedarían limitados a los que ellos autoricen, y podrían quedar excluidos form factors como calculadoras con navegador web
      Incluso podrían controlar cambios de UX a nivel de sistema operativo, como cuando Android adoptó una experiencia de navegador centrada en documentos
      Desde la perspectiva de alguien que viene del lado de Android, este tipo de ejemplos ya parecen casos que se aplican a Google/Android
      [0] Esta parte depende de si una implementación de Web Environment Integrity obliga a usar todo el arranque seguro aprobado por ellos
      [1] Hay calculadoras que corren Android, pero podrían no ejecutar Chrome porque no son Google/Android. También hay muchos dispositivos Android raros, como robots caminantes, cepillos de dientes y mingitorios
      [2] Seguro hay mejores ejemplos, pero lo importante es que fue un cambio en todo el sistema operativo más que competencia entre navegadores
    • La atestación remota (remote attestation), si no recuerdo mal, depende de atestación de hardware, así que esos sitios web solo funcionarían en hardware y arquitecturas autorizados para imponer DRM
      Solo podrían hacerlo empresas como Intel, AMD y Qualcomm, dejando fuera firmware, arquitecturas y hardware open source
    • Si tiene éxito, la demanda antimonopolio contra Microsoft parecerá un juego de niños
    • Si eso ocurre, países con malas relaciones con EE. UU. podrían terminar teniendo la verdadera internet libre
      Estos servicios y productos tecnológicos no serían deseables o accesibles para ellos, y el Tercer Mundo se vería obligado a usar soluciones propias, con posibilidad de avanzar en una dirección más innovadora y menos centrada en la publicidad
    • Al final, parece que internet se dividirá entre una internet comercial que satisface a las empresas y una internet pública federada para el pensamiento libre
      Para esquivar esta tendencia, lo mejor es concentrarse en herramientas de publicación federadas
      Para que las empresas rompan internet tendrían que ser más destructivas que una guerra nuclear, y nosotros siempre podemos enrutar alrededor de ellas
  • No entiendo cómo pueden seguir trabajando los ingenieros de software que construyen cosas así
    Me pregunto si los ingenieros asalariados o las personas relacionadas no tienen el valor o la dignidad para renunciar
    Si me pidieran impulsar algo así, me iría de inmediato sin importar la oferta, y me cuesta creer que nadie dentro de Google se oponga
    Si realmente se lanza, espero que a Google le explote en la cara de forma contundente

    • Siento que perdimos dos o tres generaciones de desarrolladores en una industria donde sería mejor ponerlos a cavar pozos y volver a taparlos
      Quizá esta sea la razón por la que hoy la programación parece hecha por el 10% inferior en talento
      Aun así, la gente lo hace por dinero. Alrededor de 2015 rechacé una oferta de FAANG; tenía que mudarme al otro lado de EE. UU. y sentía que no podría dormir si trabajaba en una empresa así
      La compensación total del primer año era de 250 mil a 350 mil dólares, según desempeño, y también había bono de contratación
      Incluso ahora, cuando sufro buscando trabajo cada mes como independiente/contratista, me arrepiento a medias de esa decisión
    • Durante un tiempo trabajé en una empresa que hacía cosas que podrían considerarse peores que Google
      Más allá de la dignidad o el valor, si tienes una familia que mantener, hipoteca, gastos médicos, mascotas o hobbies, no es fácil simplemente “mandar al diablo” el sueldo
      El trabajo ocupa una gran parte del tiempo y la vida social, y tampoco es fácil decidir dejar a colegas y amigos con quienes trabajas
      Es muy injusto esperar que los ingenieros mueran por nosotros en esta colina
      Google puede reemplazarlos en un instante, así que el resultado sería cercano a cero; culparlos por no poner en riesgo el sustento y la salud de ellos y sus familias en nombre de la dignidad o la moral me parece casi una forma de transferirles la responsabilidad
    • Solo con ver este hilo, hay gente defendiendo a Google
      No es difícil imaginar que un ingeniero quiera hacer este trabajo por iniciativa propia
    • Si me asignaran a un proyecto así, fingiría estar 150% a favor mientras lo subvierto y saboteo desde adentro
      ¿Por qué no recibir dinero del diablo mientras luchas contra sus planes?
      En la industria tecnológica hay tantas cosas brillantes que, si un proyecto se arruina, puede hacerse ver como un accidente
      Parte de mí espera que algunos ingenieros dentro de Google estén haciendo eso ahora mismo
    • Si solo existieran los ingenieros de hoy, algo como la internet abierta nunca habría existido
      El dinero grande atrajo gente hacia las big tech y rompió algo; la próxima vez habría que pensar al menos dos jugadas por delante
  • El texto en sí es prudente y bueno, pero el título es un clickbait tonto.
    Si no hay un plan para permitir que instituciones independientes sean atestadores (attesters), esto es una amenaza evidente para lo que queda de la internet abierta.
    Que Google o Apple no señalen esto explícitamente parece el canario muerto más grande en la mina.
    Es una situación en la que empresas privadas que ya monopolizaron parte de internet dicen vagamente “no se preocupen, nosotros nos encargamos”, pero justamente ellas jamás deberían estar a cargo de la atestación.

    • Incluso si hubiera un atestador imparcial y objetivo, el problema está en las condiciones de referencia y en quién las define.
      Hay dos riesgos: requisitos hostiles como “el agente no incluye un bloqueador de anuncios” o “se prohíbe el scraping sin permiso explícito del sitio web”, y requisitos prohibitivos que, aunque por separado suenen razonables, en conjunto solo los grandes vendors podrían cumplir, como “implementa los protocolos X/Y/Z y los estándares A/B/C”.
      Además, esos criterios deben ser verificables, así que si el usuario modifica el agente, la atestación en sí queda prácticamente invalidada.
    • ¿En qué se diferencia de revelar cuánto gano y cuánto puedo gastar cuando entro a una tienda web?
    • Basta imaginar este escenario: un sitio de contenido implementa la Web Integrity API para bloquear bots, pero sigue permitiendo el crawler de Google, que es su fuente de tráfico.
      Entonces los competidores de Google quedan bloqueados. ¿Cómo podría resolver este problema un atestador?
  • Si leíste este artículo en Chrome, eso en sí mismo es parte del problema.
    Si Google no tuviera una posición casi monopólica, algo tan terrible como esto no habría sido posible.
    Por una internet abierta, hay que pasarse a otro navegador. En escritorio, Firefox es la mejor opción, y los basados en Chromium también pueden ser mejores siempre que no sean Chrome.
    Firefox en Android es débil porque las extensiones están muy limitadas, pero sigue siendo mejor que Chrome, que no tiene extensiones en absoluto; en iOS no es más que un wrapper de Safari sin extensiones, pero la sincronización funciona bien en todas partes.

    • Estoy de acuerdo y uso Firefox en todos lados.
      Pero no hay que olvidar que en 2011 el 85% de los ingresos de Mozilla provenía de Google por el acuerdo para ser el motor de búsqueda predeterminado.
      En su momento se pagaron cerca de 1.000 millones de dólares durante 3 años, y dicen que el precio subió cuando Microsoft pujó por poner Bing como predeterminado.
      Por eso, cada vez que Mozilla critica a Google, se siente raro, como si mordiera la mano que le da de comer.
      Podría firmar acuerdos con Microsoft, Yahoo, DDG o Baidu, pero si Google no estuviera interesado, parece que los fondos disminuirían.
      Aun así, el hecho de que tanto Firefox como Chrome sean open source sirve como un pequeño seguro contra las jugadas de las grandes tecnológicas para limitar libertades.
    • Incluso dejando eso de lado, Firefox es un navegador más rápido.
      https://news.ycombinator.com/item?id=36770883
    • Cuando Chrome salió por primera vez, me cambié casi de inmediato, y en ese momento fue revolucionario.
      Pero cuando Chrome se volvió demasiado dominante y Google empezó a usar demasiado su poder en los comités de estandarización, volví a Firefox hace unos años.
      Cuando de verdad necesito Chromium uso Edge y, la verdad, me gusta bastante.
    • En Android, de hecho, también se pueden usar más extensiones.
      Si creas una colección de extensiones en una cuenta de Mozilla, puedes usar cualquier extensión, y muchas funcionan tal cual.
    • Los estándares web también son parte del problema, aunque la gente no suele pensarlo.
      Los motores de renderizado existentes crecieron junto con los estándares, pero en particular los estándares de CSS se volvieron tan absurdamente complejos que implementar un motor nuevo es casi imposible.
      Hasta Microsoft se rindió, y Edge en la práctica se convirtió en Chrome.
      Aunque Chrome esté basado en open source, la influencia real de Google es enorme.
      Si Google va en serio con este plan, intentará meterlo en los proyectos y convertirlo en una parte esencial de la experiencia web; además, también es el principal patrocinador de Firefox, así que tiene influencia ahí.
  • La respuesta más reciente del ingeniero de Google no tiene sentido de la realidad: https://github.com/RupertBenWiser/Web-Environment-Integrity/...

    • Es demasiado ingenuo creer que la función de suspensión se implementará tal como se describe.
      Incluso si se implementa, es muy probable que la eliminen discretamente cuando se apague la indignación.
      Aunque permanezca, si el porcentaje es lo suficientemente bajo, los usuarios que fallen la atestación recibirán una lluvia de CAPTCHA o simplemente se les dirá que se vayan.
      Si navegas por la web con TOR, puedes darte una idea de cómo te tratarán.
      Todo el texto se resume en “solo confía en mí”.
    • Ahí dice que las funciones de privacidad como la reducción del user agent, la reducción de IP, la prevención del almacenamiento entre sitios y la aleatorización de huellas son buenas porque dificultan distinguir o reidentificar clientes individuales, pero también hacen más difícil prevenir el fraude.
      Afirma que, si se vuelve la web más privada sin una API nueva, podrían aumentar las barreras de inicio de sesión para acceder a contenido básico, la toma de huellas más invasiva y desafíos excesivos como verificación por SMS o CAPTCHA; me pregunto si hay datos que respalden esas afirmaciones.
    • Lo de “hace falta una discusión más amplia” suena más a “entiendan por qué tengo razón” y no a “esta fue una mala idea”.
    • Decir “encontremos juntos el camino correcto” es justamente lo que esos issues intentan lograr.
      El camino actual está completamente equivocado y es imprudente, y el primer paso para trabajar juntos es abandonar por completo este enfoque.
      Es parecido a proponer resolver el calentamiento global con un invierno nuclear: no es un problema que se pueda arreglar con mejoras iterativas ni con un punto intermedio.
      La premisa misma de esta propuesta es peligrosa y debe descartarse.
      Basta pensar en las muchas formas en que puede ser abusada, y en las que obviamente será abusada.
      Escribo esto aquí porque vi que cerraron los comentarios en GitHub.
    • Me gusta que haya cambiado su foto de perfil de GitHub a un pato amarillo.
      Si yo trabajara para el diablo y lo supiera, también haría eso.
  • Lamentablemente, todos vamos a aceptarlo con gusto
    Porque Chrome es “cómodo”
    La gente acepta cualquier cosa por comodidad, y WhatsApp es un buen ejemplo. Millones de personas en todo el mundo comparten y sincronizan voluntariamente toda su libreta de contactos con Facebook/Meta
    Si te importa, no deberías usar Chrome. Si criticas este movimiento malicioso y sigues usando Chrome, eres parte del problema

    • Me pasé a un entorno completamente open source: sistema operativo móvil/de escritorio, navegador, casi todo el software e incluso almacenamiento de archivos en la nube
      La excepción es que todavía uso Google Search
      Con el avance de los modelos de lenguaje grandes, tal vez algún día pueda ejecutar mi propio LLM y liberarme por completo de la dependencia de empresas monopólicas
    • WhatsApp y Chrome son distintos
      Si no usas WhatsApp, sobre todo en países donde casi todos lo usan, como Alemania o India, hay un costo social: no puedes comunicarte con otros usuarios ni participar en chats grupales
      El costo de no usar Chrome es cercano a 0. Usas los mismos sitios web, pero con Firefox
    • Me gustaría que me explicaran qué consecuencias terribles trae compartir mi libreta de contactos con Meta
  • ¿No será que la industria web basada en anuncios está realmente desesperada por autenticar humanos y bots?

    • En realidad no autentican humanos, sino software y hardware aprobados
      No hay razón por la que no se pueda conectar un bot a un dispositivo “verificable” con feed de video y dispositivos de entrada para que use internet
      Solo eleva el nivel de sofisticación requerido para los bots
      En otro hilo también hablaban de apuntar una cámara a un celular y manejarlo con “dedos” robóticos
      Con WEI, como no aparecerían CAPTCHA, quizá incluso sería más fácil. Al fin y al cabo, se vería como “humano”
    • Solo quieren que pensemos eso
      Un clic de bot sigue siendo un clic y se puede cobrar
      Recuerdo haber leído que entre el 80 y el 90% de los clics en anuncios de Facebook eran de bots, y eso se parece a lo que veo en el tráfico de sitios web comerciales que manejo
      La mayor parte del tráfico viene de bots, crawlers, scanners e “investigadores de seguridad”
      A veces también se ven fraudes reales, como boosters de tráfico de marketing de afiliados que hacen clic en banners, generan pedidos y no pagan, repitiéndolo 200 veces al día; pero mientras las estadísticas se vean bien, a nadie le importa
  • No se puede confiar en Google para encargarse de la publicidad
    Solo hoy vi 3 anuncios desde Hong Kong haciéndose pasar por Macy’s y Bed Bath & Beyond, y en YouTube volvieron los anuncios falsos de Mr Beast
    Ni siquiera voy a mencionar los anuncios de Queen's Blade que son casi porno

    • YouTube también muestra anuncios de estafas de asesoría de inversión
      No entiendo cómo eso puede considerarse aceptable, ni cómo Google puede justificar intentar bloquear los bloqueadores de anuncios
      Considero que los bloqueadores de anuncios son una barrera de seguridad más importante que las vacunas, y para mí lo han sido durante casi 10 años
  • Ya hice mi parte: en mi sitio web muestro un mensaje que dice “No disponible en Chrome. Usa un navegador más moderno y abierto…” junto con una explicación
    Si la mayoría de nosotros, los desarrolladores, hacemos esto, este cambio no tiene futuro
    Mejor aún, sería bueno que alguien hiciera un archivo JS que otros solo tengan que incluir para mostrar un popup de bloqueo obligatorio que enseñe cómo se vería la web del futuro
    Sería bueno que también incluya una buena explicación y enlaces a videos relevantes