2 puntos por GN⁺ 2023-07-30 | 1 comentarios | Compartir por WhatsApp
  • La Free Software Foundation considera que Web Environment Integrity (WEI) de Google amenaza la libertad de los usuarios para acceder a la web con el navegador y sistema operativo que quieran
  • WEI es una API que hace que los sitios verifiquen, mediante un servicio de validación de terceros, si el entorno de navegación fue “alterado” antes de entregar la página
  • La FSF advierte que esta validación podría funcionar de forma que solo permita configuraciones de navegador reconocidas por Google, bloqueando el acceso de usuarios de navegadores libres y sistemas operativos libres
  • El potencial de abuso real es mayor que los casos de uso nominales del documento de política, y podría usarse para imponer navegadores aprobados, reforzar el DRM y restringir el acceso a servicios de Google
  • La FSF sostiene que WEI no tiene una justificación legítima y exige que Google detenga de inmediato un trabajo de estandarización difícil de conciliar con un internet libre

Por qué WEI choca con el internet libre

  • La FSF considera que usar navegadores libres es más importante que nunca y critica Web Environment Integrity de Google como el peor ejemplo reciente de la dirección que ha tomado la empresa
  • WEI comenzó como un documento de política publicado primero en Microsoft GitHub y desde entonces Google ha incorporado rápidamente su desarrollo en Chromium browser
  • Esta API permite a los desarrolladores aprobar ciertas configuraciones de navegador y prohibir otras
  • La FSF considera que este enfoque choca de frente con la idea tradicional de internet, en la que se puede acceder a páginas enlazadas mediante hipervínculos desde distintos dispositivos, programas y sistemas operativos
  • WEI se parece más a un DRM que vuelve a toda la web más cerrada, y se evalúa como un gran paso hacia la “enshittification” de la web

Cómo funciona y qué abusos se prevén

  • En WEI, antes de entregar una página web, el servidor solicita a un servicio externo de “validación” que compruebe si el entorno de navegación del usuario no ha sido “alterado”
  • La FSF cree que ese servidor de validación podría ser propiedad de Google, y que terminaría revisando si el navegador se desvía aunque sea un poco de una configuración aceptada por Google
  • Como resultado, a los usuarios les sería difícil ejercer de forma significativa las four freedoms, y con navegadores libres o sistemas operativos libres algunos sitios podrían negarse a entregar páginas
  • Se señala que el problema principal no son los casos de uso legítimos que presenta el documento de política, sino sus posibilidades reales de uso
    • Los gobiernos podrían usarlo para permitir el acceso a internet solo con navegadores oficialmente “aprobados”
    • Empresas como Netflix podrían usarlo para reforzar el Digital Restrictions Management (DRM)
    • Google podría usarlo para negar el acceso a sus servicios si no se utiliza un navegador alineado con sus intereses
  • La FSF sostiene que WEI “no tiene ninguna justificación legítima” y critica que su uso central en la práctica sería restringir el internet libre
  • Quienes toman decisiones en Google deben considerar los principios fundacionales de la web, reconocer que WEI es fundamentalmente incompatible con un internet libre y detener de inmediato el trabajo de estandarización

1 comentarios

 
GN⁺ 2023-07-30
Opiniones de Hacker News
  • Artículos relacionados. Sería bueno que avisen si hay más.
    El plan de seguridad para navegadores de Google recibe críticas por ser peligroso, terrible y DRM para sitios web - https://news.ycombinator.com/item?id=36893071 - julio de 2023 (63 comentarios)
    Google Web Environment Integrity es el nuevo Microsoft Trusted Computing - https://news.ycombinator.com/item?id=36888156 - julio de 2023 (282 comentarios)
    Un empleado de Google responde a los comentarios negativos sobre WEI - https://news.ycombinator.com/item?id=36881506 - julio de 2023 (25 comentarios)
    Google ya está metiendo WEI en Chromium - https://news.ycombinator.com/item?id=36876301 - julio de 2023 (832 comentarios)
    Desmenuzando la especificación Web Environment Integrity de Google - https://news.ycombinator.com/item?id=36875940 - julio de 2023 (431 comentarios)
    Ingenieros de Google quieren hacer que bloquear anuncios sea casi imposible - https://news.ycombinator.com/item?id=36875226 - julio de 2023 (468 comentarios)
    Google contra la web abierta - https://news.ycombinator.com/item?id=36875164 - julio de 2023 (191 comentarios)
    Apple ya lanzó la atestación en la web, y casi ni nos dimos cuenta - https://news.ycombinator.com/item?id=36862494 - julio de 2023 (421 comentarios)
    La pesadilla de “Web Integrity API” de Google quiere un guardián DRM para la web - https://news.ycombinator.com/item?id=36854114 - julio de 2023 (456 comentarios)
    Propuesta de Web Environment Integrity API - https://news.ycombinator.com/item?id=36817305 - julio de 2023 (441 comentarios)
    Web Environment Integrity API - https://news.ycombinator.com/item?id=36808231 - julio de 2023 (2 comentarios)
    Explicación de Web Environment Integrity - https://news.ycombinator.com/item?id=36785516 - julio de 2023 (45 comentarios)
    Propuesta de Google Chrome – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - julio de 2023 (93 comentarios)
    Web Environment Integrity – Google intenta bloquear el navegador - https://news.ycombinator.com/item?id=35864471 - mayo de 2023 (1 comentario)

  • No entiendo por qué se deja que Google haga esta estupidez sin más. Primero fue el toast component, luego eliminar las notificaciones, Manifest V3, FLoC, y ahora esto.
    Las empresas actuarán como empresas, pero ¿qué opciones les quedan a los usuarios y a los futuros usuarios? Me refiero a la gente a la que ahora no le interesa, pero que quizá podría encontrar útil la forma actual de internet.
    No me importa si Google esconde sus propios productos detrás de un muro al que solo se pueda acceder con un navegador propietario no modificable, pero preferiría que no lo esparciera por todas partes. Todavía seguimos “disfrutando” de reCAPTCHA, que no se puede resolver en todas partes.

    • Tengo un fuerte problema con los CAPTCHA. En la práctica, es como entrenar gratis el motor de reconocimiento de imágenes de Google.
    • ¿No será porque a Apple se le dejó pasar cuando hizo eso?
      https://httptoolkit.com/blog/apple-private-access-tokens-att...
    • ¿Hay algún enlace relacionado con el toast component?
    • Dicen “reCAPTCHA que no se puede resolver en todas partes”, pero yo casi nunca veo algo así.
      Es parte de una verificación de pregunta-respuesta que aparece cuando el servidor considera sospechoso el tráfico. Por lo general se puede evitar manteniendo la sesión iniciada, no bloqueando cookies y no usando Tor ni otros medios para ocultar la ruta.
  • Pero parece que una API muy similar ya estaba implementada en Safari desde 2022. Supongo que una buena estrategia de marketing puede tener mucho impacto. Casi no vi que se discutiera esto.
    https://blog.cloudflare.com/eliminating-captchas-on-iphones-...
    La parte interesante es esta: “En realidad no necesitamos ni queremos los datos subyacentes que se recopilan en este proceso; solo queremos verificar si el visitante está falseando su dispositivo o su user agent”.
    En el ejemplo, si un visitante abre Safari en un iPhone e intenta visitar example.com, Cloudflare le solicita un token al navegador y, como Safari soporta PAT, le pide una prueba a Apple Attester mediante una llamada a la API.
    El atestador de Apple verifica la validez revisando varios componentes del dispositivo, luego hace una llamada a la API al Cloudflare Issuer, y el Cloudflare Issuer crea un token y lo envía al navegador; el navegador se lo entrega al servidor de origen.
    Cloudflare recibe ese token y determina que no hace falta mostrarle un CAPTCHA a este usuario. A mí me suena demasiado parecido a WAI, pero como se llama “Privacy Access Tokens”, seguro que es algo bueno, ¿no...?
    Edición: hubo un hilo en HN hace unos días y se me pasó: https://news.ycombinator.com/item?id=36862494

    • La estrategia de relaciones públicas de Google parece ser decir: “no hay de qué preocuparse, es parecido a lo que hace Apple”. Pero, como la propia Google escribió en su documento explicativo¹, son bastante distintos, y Google considera que PAT no es suficiente para la aplicación que quiere implementar.
      Por ejemplo, PAT básicamente solo prueba que “no eres un bot”, por lo que no requiere intercambiar datos del dispositivo ni del entorno del navegador. En cambio, WEI sí necesita esos datos para habilitar casos de uso como el DRM para la web del que estamos leyendo.
      https://github.com/RupertBenWiser/Web-Environment-Integrity/...
    • ¿Qué significa “queremos verificar si el visitante está falseando su dispositivo o su user agent”? Probablemente se refiera a casos en los que algún dispositivo o user agent dice ser algo específico, pero en realidad es otra cosa.
      Pero los navegadores llevan décadas mintiendo sobre quiénes son. ¿Y cuál es la diferencia entre un dispositivo/user agent falso y uno poco común? Para ellos, probablemente no haya diferencia.
    • Leí esto el año pasado en el artículo original de Cloudflare. Cloudflare es una empresa querida, pero pensé que esto era peligroso para la web.
    • Creo que la diferencia está en que PAT permite bloqueadores de anuncios, pero WEI probablemente no.
  • Por eso empecé a mirar gopher. Acabo de enterarme también de gemini, y quizá me resulte aún más interesante.
    Las empresas ven el éxito de Apple y están haciendo todo lo posible para crear jardines amurallados. Y, aunque en menor medida, parece que también están empezando a influir en la dirección del desarrollo de Linux.
    Me pregunto cuándo llegará un DRM completamente integrado para validar sitios de streaming.
    https://www.linuxjournal.com/content/diff-u-kernel-drm-suppo...

    • No deberíamos seguir buscando rodeos cada vez más oscuros, sino enfrentarlo de frente. Creo que algún día podría llegar un momento en que, si tu dispositivo no logra una atestación, ni siquiera puedas conectarte al proveedor de internet.
      Cuando aparecieron por primera vez API como Android SafetyNet, la defensa ya era: “si no puedes usar la app, usa el sitio web en el navegador”. Las empresas no se detendrán hasta tener control absoluto de todas las capas de la pila.
    • Estoy a favor de alternativas a HTTP, pero esto no tiene mucho que ver con ese problema. Si un sitio no quiere verse afectado por WEI, simplemente puede no usar la API WEI.
      Y algo como WEI también podría implementarse perfectamente encima de esos protocolos, igual que sobre HTTP. Es un concepto completamente aparte.
  • Leer cosas así me vuelve tremendamente cínico. Me da la sensación de “¡de ninguna manera, no mientras yo esté viendo!”, pero luego me doy cuenta de que lo único que puedo hacer es firmar una petición o mandarle un correo a un político que no tiene idea de lo que significa esto.
    Es la misma razón por la que a mi hermano de la generación Z y a los TikTokers de su edad no les importa. A la gente no le importa. Tienen problemas más grandes, como con qué van a pagar la renta mañana, y hay espectáculos más entretenidos, como ver durante 5 horas a alguien fingiendo ser un NPC mientras le dan dinero.
    Mucha gente con la que trabajé era parecida. Están acostumbrados a darse cuenta de que los están jodiendo por completo y son adictos a quejarse, pero solo dentro de un grupo muy reducido que comparte intereses comunes.
    Esta es la revolución más desmoralizante. DNS, el desastre de JavaScript, la neutralidad de la red, hasta el mundo de los navegadores: siempre hay escándalo, pero no se logra nada, siempre se pasa la responsabilidad a otros y después se termina recordando los buenos viejos tiempos en otro hilo.
    Pero al final, ¿qué puedo hacer yo? ¿Debería rechazar el PR?

    • No entiendo por qué en cada hilo como este sigue apareciendo esa negatividad de “a la gente no le importa”. No hace falta que a todas las personas de la calle les importe.
      Basta con que les importe a personas con suficiente influencia dentro de la industria y del ámbito regulatorio. Y de hecho les importa. Todos están enojados por esto y lo están recomendando, y empresas y organizaciones están escribiendo al respecto.
      Hay que seguir haciendo eso, presionar para que otras empresas lo rechacen o para que se bloquee por regulación. Lo que más teme Google es la escisión. Si insiste con esto, se puede contactar de forma organizada a los legisladores para plantear preocupaciones y exigir regulación o una escisión por las prácticas anticompetitivas de Google.
    • El hecho de que ya haya habido bastante debate público y reacción en contra es, más bien, alentador. Hay que recordar que este tema apenas salió a primer plano hace más o menos una semana. No se puede ganar de la noche a la mañana.
      A la gente sí le importa. Solo que para generar presión pública hay etapas: el público tiene que enterarse del problema, aprender y entender los aspectos técnicos, y organizar la oposición. No es necesariamente un proceso rápido.
    • Es mejor no escribirles a políticos, sino a las autoridades de competencia correspondientes. La discusión reciente[1] sirve como ejemplo.
      [1] https://news.ycombinator.com/item?id=36877310
    • Hay cosas que se pueden hacer. Convertirse en un usuario avanzado de herramientas de privacidad ayuda a cambiar el terreno en el que la gente usa la tecnología e interactúa con ella.
      Suponiendo que el objetivo principal sea impedir el bloqueo de anuncios, me pregunto si mi bloqueador DNS pinhole se verá afectado. Si el nuevo estándar hace que todo el mundo se pase a bloqueadores DNS, aunque implique un pequeño costo para el usuario, el panorama general podría mejorar.
      Cuando la gente cree que el sistema es libre y abierto y no siente la necesidad, casi no adopta ni apoya herramientas de privacidad. Hasta que cambian los límites, todos son tratados como personas con sombrero de papel aluminio.
      La gente debería entender mejor, en general, cosas como la protección de datos personales y el control sobre los servicios, pero seguirá siendo floja hasta que se quede sin otras opciones y tenga que recuperar el control.
    • Entiendo el enojo. Primero, empatizo. Pero la presión de la situación hace que se culpe a quienes precisamente no son las personas que están haciendo esto, en lugar de a quienes sí lo hacen.
      Los usuarios de electrónica de consumo no son quienes “votan” sobre el contenido. Los que están llegando a los puntos de decisión son sistemas informáticos cerrados, jerárquicos, privados y movidos por decisiones internas.
  • Me alegra que haya gente que valore saber estas cosas. Cuando intento difundirlo, por lo general me topo con ignorancia.
    Esto no es solo cosa de Google. Parece que simplemente quieren ser los primeros.
    La “teoría conspirativa” que llamo confinamiento digital es exactamente esto. Es otro paso en esa dirección y, viendo lo que hace, se está acercando demasiado al destino.

  • Actúan como si de alguna manera fuera más seguro verificar que todos usemos el navegador de Google. Como si sus desarrolladores fueran perfectos.
    Esta arrogancia de las big tech es asombrosa e irritante.

  • “Puede visitar nuestro sitio web. Primero muéstrenos sus esposas digitales”.

  • ¿Alguien me lo puede explicar como si tuviera cinco años? ¿Qué va a pasar? ¿Firefox dejará de funcionar en la mayoría de los sitios? ¿uBlock no funcionará? ¿Tendré que enviar un escaneo de retina antes de acceder a sitios de la World Wide Web?
    Bueno, antes vivíamos sin Internet. Instalaba Microsoft Flight Simulator desde disquetes. Esta vez solo habrá algunos disquetes más. No es la gran cosa.

    • El objetivo final probablemente sea que Google y unas cuantas empresas controlen qué navegador web se puede usar para acceder a la mayor parte de la web. Mozilla podría seguirles el paso o no, pero con EME sí lo hizo.
      Linux podría no funcionar salvo quizá en builds de Ubuntu y Red Hat, y eso solo después de que agreguen soporte. Puede tomar mucho tiempo, porque se necesita una larga cadena de verificación que pasa por el navegador, el sistema operativo, el kernel, el entorno de arranque y el TPM, y hay que convencer a Google de que esa cadena no es lo bastante débil como para ser hackeada.
      Los bloqueadores de anuncios serán excluidos en algún momento. Y tampoco podremos volver a los tiempos de Flight Simulator en disquetes. Los bancos, los boletos de avión y de conciertos, e incluso el pediatra de tus hijos, terminarán exigiendo esto.
      No porque los médicos lean con entusiasmo las nuevas especificaciones web, sino porque usarán plataformas de servicios médicos que dependen de valores predeterminados de Cloudflare que a los encargados de seguridad les gustan porque reducen bots y DDoS.
      Al final acabaremos usando un sistema operativo amurallado que nos vigila y nos muestra anuncios constantemente, como la TV por cable. Un gran escándalo quizá haga que Google retroceda un poco o prometa cosas que no puede ni va a cumplir.
      La única solución real es usar al gobierno para impedir que los usuarios pierdan el control.
  • ¡Sí! ¡Usemos todos navegadores basados en Chromium!
    ¿Qué podría salir mal?

    • No creo que el hecho de que los navegadores minoritarios estén basados en Chromium cambie mucho esta catástrofe en ningún sentido. El problema es el monopolio de facto de Chrome.