Ingenieros de Google propusieron Web Environment Integrity, que podría hacer casi imposible bloquear anuncios
(stackdiary.com)- Web Environment Integrity, creada por cuatro ingenieros de Google, fue una propuesta de API que permitiría a los sitios web solicitar tokens de prueba del entorno del cliente del usuario, y Google la descartó el 2 de noviembre de 2023
- Su objetivo aparente era aumentar la confianza y la seguridad en la web, por ejemplo con verificación de usuarios humanos en sitios de publicidad, identificación de participación falsa en sitios sociales y comprobación del cumplimiento de reglas en juegos en línea
- Mozilla se opuso: aunque consideró que la detección de fraude y tráfico inválido es un problema que debe resolverse, dijo que no estaba claro qué avances aportaba esta propuesta en casos de uso reales y que tenía desventajas claras
- Los críticos temían que, aunque los tokens no tuvieran identificadores únicos, si se abusaba de ellos podrían derivar en vigilancia y control, e introducir DRM en páginas web hasta hacer casi imposible el bloqueo de anuncios en el navegador
- Al no quedar claro quién controlaría a los attesters ni quién decidiría los requisitos base, persiste el riesgo de dañar la web abierta, con grandes tecnológicas determinando puntajes de confianza y acceso a la web
Propuesta y descarte de Web Environment Integrity
- Google propuso el “Web Environment Integrity Explainer”, un documento escrito por cuatro ingenieros de Google
- Según una actualización del 2 de noviembre de 2023, Google descartó esta propuesta y enlazó por separado una publicación posterior relacionada
- En una actualización del 26 de julio de 2023 se presentó un commit que parecía indicar movimientos para incorporar esta función en Chromium
- Rupert Ben Wiser, uno de los autores de la propuesta, dejó un comentario en GitHub diciendo que percibía la reacción en contra
Casos de uso a los que apuntaba la verificación basada en tokens
- La idea central era que los sitios web pudieran solicitar un token con evidencia sobre el entorno de código del cliente, para hacer más confiable el entorno de acceso
- Los casos de uso planteados por la propuesta se resumen en tres
- Un sitio web basado en publicidad verifica si el usuario es un humano y no un bot
- Un sitio web social distingue entre participación de usuarios reales y participación falsa
- Los usuarios de juegos en línea verifican si otros jugadores siguen las reglas del juego
- Google afirmó que los tokens no incluirían identificadores únicos, pero los críticos consideraron que, si se usaban indebidamente, permitirían vigilancia y control injustificados
- Mozilla se opuso en su issue de posición de estándares: aunque detectar fraude y tráfico inválido vale la pena, en esta propuesta no está claro cómo se lograrían avances sustanciales y las desventajas de adoptarla son claras
Preocupaciones sobre DRM, extensiones y control de los attesters
- Los críticos consideraron que esta API se usaría para controlar el comportamiento de los usuarios en la web e introducir DRM de forma encubierta en páginas web, lo que podría hacer casi imposible bloquear anuncios dentro del navegador
- Esta posibilidad genera preocupaciones no solo sobre la experiencia de usuario, sino también sobre la neutralidad de la red y la apertura de la web
- Quién controla al attester que verifica el entorno del cliente se convirtió en un punto central de debate en la comunidad técnica
- Existe la preocupación de que, si Google u otras grandes tecnológicas controlan al attester, podrían manipular los puntajes de confianza
- Podría consolidarse una estructura en la que algunas empresas decidan qué sitios web son confiables
- El impacto sobre las modificaciones del navegador y las extensiones también es poco claro
- La propuesta afirma que Web Environment Integrity realiza la attestation de la legitimidad del hardware subyacente y la pila de software, y que no limita las funciones declaradas de la aplicación
- Sigue siendo una zona gris cómo se aplica esta explicación en navegadores modificados o que permiten extensiones
- La propuesta decía que el attester debía ofrecer servicio en las mismas condiciones a todos los navegadores que cumplieran ciertos requisitos base, pero no queda claro cómo se definirían esos requisitos base ni quién los haría cumplir
1 comentarios
Opiniones en Hacker News
Debates anteriores: Web Environment Integrity API Proposal – https://news.ycombinator.com/item?id=36817305 (618 puntos/hace 4 días/442 comentarios), Google Chrome Proposal – Web Environment Integrity – https://news.ycombinator.com/item?id=36778999 – (117 puntos/hace 7 días/94 comentarios), Web Environment Integrity Explainer – https://news.ycombinator.com/item?id=36785516 (87 puntos/hace 6 días/44 comentarios)
Esto no es simplemente “hacer que bloquear anuncios sea casi imposible”, como dice el título, sino hacer que solo se pueda navegar por internet desde Chrome, Safari y Edge, e impedir también las modificaciones o extensiones
Sería hacerlo posible solo en macOS, Windows, Android e iOS, excluyendo distribuciones Android personalizadas como LineageOS o GrapheneOS
Incluso incluiría hacer que solo Google pueda rastrear internet, bloqueando el crawling privado y a los motores de búsqueda competidores
Entonces RISC-V todavía no podría, y aunque más adelante tuviera soporte, no se permitiría la competencia en CPU
Los SoC también quedarían limitados a los que ellos autoricen, y podrían quedar excluidos form factors como calculadoras con navegador web
Incluso podrían controlar cambios de UX a nivel de sistema operativo, como cuando Android adoptó una experiencia de navegador centrada en documentos
Desde la perspectiva de alguien que viene del lado de Android, este tipo de ejemplos ya parecen casos que se aplican a Google/Android
[0] Esta parte depende de si una implementación de Web Environment Integrity obliga a usar todo el arranque seguro aprobado por ellos
[1] Hay calculadoras que corren Android, pero podrían no ejecutar Chrome porque no son Google/Android. También hay muchos dispositivos Android raros, como robots caminantes, cepillos de dientes y mingitorios
[2] Seguro hay mejores ejemplos, pero lo importante es que fue un cambio en todo el sistema operativo más que competencia entre navegadores
Solo podrían hacerlo empresas como Intel, AMD y Qualcomm, dejando fuera firmware, arquitecturas y hardware open source
Estos servicios y productos tecnológicos no serían deseables o accesibles para ellos, y el Tercer Mundo se vería obligado a usar soluciones propias, con posibilidad de avanzar en una dirección más innovadora y menos centrada en la publicidad
Para esquivar esta tendencia, lo mejor es concentrarse en herramientas de publicación federadas
Para que las empresas rompan internet tendrían que ser más destructivas que una guerra nuclear, y nosotros siempre podemos enrutar alrededor de ellas
No entiendo cómo pueden seguir trabajando los ingenieros de software que construyen cosas así
Me pregunto si los ingenieros asalariados o las personas relacionadas no tienen el valor o la dignidad para renunciar
Si me pidieran impulsar algo así, me iría de inmediato sin importar la oferta, y me cuesta creer que nadie dentro de Google se oponga
Si realmente se lanza, espero que a Google le explote en la cara de forma contundente
Quizá esta sea la razón por la que hoy la programación parece hecha por el 10% inferior en talento
Aun así, la gente lo hace por dinero. Alrededor de 2015 rechacé una oferta de FAANG; tenía que mudarme al otro lado de EE. UU. y sentía que no podría dormir si trabajaba en una empresa así
La compensación total del primer año era de 250 mil a 350 mil dólares, según desempeño, y también había bono de contratación
Incluso ahora, cuando sufro buscando trabajo cada mes como independiente/contratista, me arrepiento a medias de esa decisión
Más allá de la dignidad o el valor, si tienes una familia que mantener, hipoteca, gastos médicos, mascotas o hobbies, no es fácil simplemente “mandar al diablo” el sueldo
El trabajo ocupa una gran parte del tiempo y la vida social, y tampoco es fácil decidir dejar a colegas y amigos con quienes trabajas
Es muy injusto esperar que los ingenieros mueran por nosotros en esta colina
Google puede reemplazarlos en un instante, así que el resultado sería cercano a cero; culparlos por no poner en riesgo el sustento y la salud de ellos y sus familias en nombre de la dignidad o la moral me parece casi una forma de transferirles la responsabilidad
No es difícil imaginar que un ingeniero quiera hacer este trabajo por iniciativa propia
¿Por qué no recibir dinero del diablo mientras luchas contra sus planes?
En la industria tecnológica hay tantas cosas brillantes que, si un proyecto se arruina, puede hacerse ver como un accidente
Parte de mí espera que algunos ingenieros dentro de Google estén haciendo eso ahora mismo
El dinero grande atrajo gente hacia las big tech y rompió algo; la próxima vez habría que pensar al menos dos jugadas por delante
El texto en sí es prudente y bueno, pero el título es un clickbait tonto.
Si no hay un plan para permitir que instituciones independientes sean atestadores (attesters), esto es una amenaza evidente para lo que queda de la internet abierta.
Que Google o Apple no señalen esto explícitamente parece el canario muerto más grande en la mina.
Es una situación en la que empresas privadas que ya monopolizaron parte de internet dicen vagamente “no se preocupen, nosotros nos encargamos”, pero justamente ellas jamás deberían estar a cargo de la atestación.
Hay dos riesgos: requisitos hostiles como “el agente no incluye un bloqueador de anuncios” o “se prohíbe el scraping sin permiso explícito del sitio web”, y requisitos prohibitivos que, aunque por separado suenen razonables, en conjunto solo los grandes vendors podrían cumplir, como “implementa los protocolos X/Y/Z y los estándares A/B/C”.
Además, esos criterios deben ser verificables, así que si el usuario modifica el agente, la atestación en sí queda prácticamente invalidada.
Entonces los competidores de Google quedan bloqueados. ¿Cómo podría resolver este problema un atestador?
Si leíste este artículo en Chrome, eso en sí mismo es parte del problema.
Si Google no tuviera una posición casi monopólica, algo tan terrible como esto no habría sido posible.
Por una internet abierta, hay que pasarse a otro navegador. En escritorio, Firefox es la mejor opción, y los basados en Chromium también pueden ser mejores siempre que no sean Chrome.
Firefox en Android es débil porque las extensiones están muy limitadas, pero sigue siendo mejor que Chrome, que no tiene extensiones en absoluto; en iOS no es más que un wrapper de Safari sin extensiones, pero la sincronización funciona bien en todas partes.
Pero no hay que olvidar que en 2011 el 85% de los ingresos de Mozilla provenía de Google por el acuerdo para ser el motor de búsqueda predeterminado.
En su momento se pagaron cerca de 1.000 millones de dólares durante 3 años, y dicen que el precio subió cuando Microsoft pujó por poner Bing como predeterminado.
Por eso, cada vez que Mozilla critica a Google, se siente raro, como si mordiera la mano que le da de comer.
Podría firmar acuerdos con Microsoft, Yahoo, DDG o Baidu, pero si Google no estuviera interesado, parece que los fondos disminuirían.
Aun así, el hecho de que tanto Firefox como Chrome sean open source sirve como un pequeño seguro contra las jugadas de las grandes tecnológicas para limitar libertades.
https://news.ycombinator.com/item?id=36770883
Pero cuando Chrome se volvió demasiado dominante y Google empezó a usar demasiado su poder en los comités de estandarización, volví a Firefox hace unos años.
Cuando de verdad necesito Chromium uso Edge y, la verdad, me gusta bastante.
Si creas una colección de extensiones en una cuenta de Mozilla, puedes usar cualquier extensión, y muchas funcionan tal cual.
Los motores de renderizado existentes crecieron junto con los estándares, pero en particular los estándares de CSS se volvieron tan absurdamente complejos que implementar un motor nuevo es casi imposible.
Hasta Microsoft se rindió, y Edge en la práctica se convirtió en Chrome.
Aunque Chrome esté basado en open source, la influencia real de Google es enorme.
Si Google va en serio con este plan, intentará meterlo en los proyectos y convertirlo en una parte esencial de la experiencia web; además, también es el principal patrocinador de Firefox, así que tiene influencia ahí.
La respuesta más reciente del ingeniero de Google no tiene sentido de la realidad: https://github.com/RupertBenWiser/Web-Environment-Integrity/...
Incluso si se implementa, es muy probable que la eliminen discretamente cuando se apague la indignación.
Aunque permanezca, si el porcentaje es lo suficientemente bajo, los usuarios que fallen la atestación recibirán una lluvia de CAPTCHA o simplemente se les dirá que se vayan.
Si navegas por la web con TOR, puedes darte una idea de cómo te tratarán.
Todo el texto se resume en “solo confía en mí”.
Afirma que, si se vuelve la web más privada sin una API nueva, podrían aumentar las barreras de inicio de sesión para acceder a contenido básico, la toma de huellas más invasiva y desafíos excesivos como verificación por SMS o CAPTCHA; me pregunto si hay datos que respalden esas afirmaciones.
El camino actual está completamente equivocado y es imprudente, y el primer paso para trabajar juntos es abandonar por completo este enfoque.
Es parecido a proponer resolver el calentamiento global con un invierno nuclear: no es un problema que se pueda arreglar con mejoras iterativas ni con un punto intermedio.
La premisa misma de esta propuesta es peligrosa y debe descartarse.
Basta pensar en las muchas formas en que puede ser abusada, y en las que obviamente será abusada.
Escribo esto aquí porque vi que cerraron los comentarios en GitHub.
Si yo trabajara para el diablo y lo supiera, también haría eso.
Lamentablemente, todos vamos a aceptarlo con gusto
Porque Chrome es “cómodo”
La gente acepta cualquier cosa por comodidad, y WhatsApp es un buen ejemplo. Millones de personas en todo el mundo comparten y sincronizan voluntariamente toda su libreta de contactos con Facebook/Meta
Si te importa, no deberías usar Chrome. Si criticas este movimiento malicioso y sigues usando Chrome, eres parte del problema
La excepción es que todavía uso Google Search
Con el avance de los modelos de lenguaje grandes, tal vez algún día pueda ejecutar mi propio LLM y liberarme por completo de la dependencia de empresas monopólicas
Si no usas WhatsApp, sobre todo en países donde casi todos lo usan, como Alemania o India, hay un costo social: no puedes comunicarte con otros usuarios ni participar en chats grupales
El costo de no usar Chrome es cercano a 0. Usas los mismos sitios web, pero con Firefox
¿No será que la industria web basada en anuncios está realmente desesperada por autenticar humanos y bots?
No hay razón por la que no se pueda conectar un bot a un dispositivo “verificable” con feed de video y dispositivos de entrada para que use internet
Solo eleva el nivel de sofisticación requerido para los bots
En otro hilo también hablaban de apuntar una cámara a un celular y manejarlo con “dedos” robóticos
Con WEI, como no aparecerían CAPTCHA, quizá incluso sería más fácil. Al fin y al cabo, se vería como “humano”
Un clic de bot sigue siendo un clic y se puede cobrar
Recuerdo haber leído que entre el 80 y el 90% de los clics en anuncios de Facebook eran de bots, y eso se parece a lo que veo en el tráfico de sitios web comerciales que manejo
La mayor parte del tráfico viene de bots, crawlers, scanners e “investigadores de seguridad”
A veces también se ven fraudes reales, como boosters de tráfico de marketing de afiliados que hacen clic en banners, generan pedidos y no pagan, repitiéndolo 200 veces al día; pero mientras las estadísticas se vean bien, a nadie le importa
No se puede confiar en Google para encargarse de la publicidad
Solo hoy vi 3 anuncios desde Hong Kong haciéndose pasar por Macy’s y Bed Bath & Beyond, y en YouTube volvieron los anuncios falsos de Mr Beast
Ni siquiera voy a mencionar los anuncios de Queen's Blade que son casi porno
No entiendo cómo eso puede considerarse aceptable, ni cómo Google puede justificar intentar bloquear los bloqueadores de anuncios
Considero que los bloqueadores de anuncios son una barrera de seguridad más importante que las vacunas, y para mí lo han sido durante casi 10 años
Ya hice mi parte: en mi sitio web muestro un mensaje que dice “No disponible en Chrome. Usa un navegador más moderno y abierto…” junto con una explicación
Si la mayoría de nosotros, los desarrolladores, hacemos esto, este cambio no tiene futuro
Mejor aún, sería bueno que alguien hiciera un archivo JS que otros solo tengan que incluir para mostrar un popup de bloqueo obligatorio que enseñe cómo se vería la web del futuro
Sería bueno que también incluya una buena explicación y enlaces a videos relevantes