1 puntos por GN⁺ 2023-08-09 | 1 comentarios | Compartir por WhatsApp
  • La propuesta de Web Environment Integrity (WEI) de Google podría debilitar la capacidad de los usuarios para controlar lo que dice su propia computadora, al hacer que Chrome envíe a los sitios web información a prueba de manipulaciones sobre el estado del sistema operativo y del software
  • WEI es una forma de certificación remota (remote attestation) mediante TPM o secure enclave, que permite a los sitios web verificar la configuración del navegador y del dispositivo mediante pruebas criptográficas, y no a partir de lo que diga el usuario
  • Aunque se justifica como una forma de reducir el fraude publicitario, los ataques de intermediario, las trampas en juegos, las cuentas bot y las reseñas falsas, es probable que los beneficios reales recaigan principalmente en los operadores de servicios comerciales
  • Los sitios web podrían usar WEI para bloquear navegadores o sistemas operativos que no les gusten, y la mitigación propuesta por Google de “no enviar WEI a una minoría de usuarios de Chrome” difícilmente evitaría la exclusión
  • No es necesario prohibir las herramientas de certificación remota en sí, pero no deben incorporarse a la web abierta; los usuarios deben poder decidir por sí mismos qué decir sobre su computadora y su software

La relación entre navegadores y sitios web que Google WEI busca cambiar

  • Google quiere agregar a Chrome código que envíe a los sitios web información a prueba de manipulaciones sobre el estado del sistema operativo y el software del usuario
  • A diferencia de la explicación de que reduciría el fraude publicitario, esta función podría reducir la capacidad de los usuarios para controlar su propia computadora
  • También existe la posibilidad de que usuarios que no usen sistemas operativos y navegadores aprobados sean bloqueados en algunos sitios web
  • Un documento explicativo informal escrito por empleados de Google reconoce que Web Environment Integrity (WEI) podría elevar la barrera de entrada para nuevos navegadores

Información que el navegador envía a los sitios web

  • Cuando un navegador web se conecta a un servidor, envía automáticamente información sobre el dispositivo y el navegador
    • Ejemplo: información como “usando Chrome 116.0.5845.61 en un Google Pixel 4”
  • El servidor también puede solicitar información más detallada, como las fuentes instaladas o el tamaño de la pantalla
  • Esta información se usa para que los sitios web entreguen formatos de archivo, resoluciones y diseños adecuados para el dispositivo del usuario
  • La misma información también se usa para browser fingerprinting
    • Permite identificar a usuarios que rechazaron cookies u otros mecanismos de rastreo mediante la combinación de características del navegador
    • Algunos sitios pueden fijar precios distintos o presentar ofertas malas o engañosas según la información del navegador y el dispositivo

Por qué los usuarios deben poder enviar información falsa o aleatoria

  • La información que los navegadores envían actualmente a los sitios web es, en esencia, voluntaria
  • Los usuarios pueden enviar la información que quieran a sitios en los que no confían mediante plugins, herramientas de privacidad y configuraciones avanzadas
  • Simplemente no enviar información puede no ser suficiente
    • Porque un servicio puede exigir información del dispositivo y rechazar a quienes no la proporcionen
  • En su lugar, las herramientas de privacidad y antirrastreo pueden enviar información de dispositivo plausible pero incorrecta
    • Es una forma de evitar que el servicio discrimine a los usuarios por sus elecciones de privacidad

Cómo funcionan la certificación remota y la computación segura

  • La mayoría de las computadoras, tabletas y teléfonos modernos incluyen algún tipo de función de computación segura
  • La computación segura inicial usaba un procesador separado llamado Trusted Platform Module (TPM), y muchos dispositivos usan un subsistema reforzado llamado secure enclave
  • Estos sistemas pueden supervisar cada etapa del proceso de arranque para verificar que se ejecute código no modificado provisto por el fabricante
  • El mismo proceso también puede usarse para impedir que el usuario ejecute intencionalmente otro código
    • Ejemplo: sistemas operativos libres y de código abierto
    • Ejemplo: software modificado para desactivar funciones de vigilancia o permitir instalar software fuera de la tienda de apps del fabricante
  • Los TPM y secure enclaves incluyen claves de firma criptográficas
    • Pueden recopilar información de código de bajo nivel, como la versión del sistema operativo, extensiones, software y bootloaders
    • Pueden entregar esa información como una certificación (attestation) firmada criptográficamente
  • En lugar de creer lo que dice el navegador del usuario, un servidor remoto puede exigir una prueba criptográfica del dispositivo

Riesgos legales de la elusión y la investigación

  • Si los usuarios no pueden eludir la seguridad de un secure enclave o un TPM, la certificación se convierte en un indicador muy confiable de la configuración del dispositivo
  • Modificar un TPM o un secure enclave puede ser legalmente riesgoso
  • La Sección 1201 de la DMCA, las patentes y el copyright pueden crear riesgos civiles y penales para los técnicos que investigan estas tecnologías
  • Publicar formas de desactivar o eludir funciones de seguridad aumenta aún más el riesgo
  • Distribuir herramientas de elusión puede implicar riesgos penales y civiles graves, incluidas condenas de varios años

La certificación remota para la web que propone WEI

  • WEI es una propuesta técnica que permite a los servidores solicitar certificación remota a los dispositivos
  • La solicitud se transmite al secure enclave o TPM del dispositivo, y el dispositivo responde con una descripción del dispositivo de alta confianza, firmada criptográficamente
  • El usuario puede negarse a enviar esta información a un servidor remoto
  • Pero pierde la capacidad de enviar información modificada o aleatoria sobre el dispositivo y el software cuando considera que la necesita

Casos de uso que plantea Google y sus límites

  • Los ingenieros de Google creen que WEI puede reducir varios problemas
    • Distinguir si un usuario real manipula manualmente el navegador o si un bot automatiza el servicio
    • La expectativa de reducir el fraude publicitario, aumentar los ingresos de los publishers y derivar en la producción de mejor contenido
    • Prevenir ataques de intermediario que incluso interceptan contraseñas de un solo uso de autenticación de dos factores y las ingresan en el inicio de sesión del servicio real
    • Verificar en juegos que el rival ejecute un juego no modificado y no use trampas
    • Detectar y bloquear herramientas de automatización de navegadores para prevenir fraudes como reseñas falsas o creación masiva de cuentas bot
  • Estos casos de uso pueden tener cierta validez
  • Pero en problemas de seguridad, las invasiones a la privacidad y el daño a la autonomía personal suelen aliviar una parte de problemas reales
  • Si se esposa a todos los clientes que entran a una tienda, puede reducirse el robo, pero el robo es un problema de la tienda, no un problema cuyo costo deban asumir todos los clientes

WEI podría usarse para bloquear navegadores y sistemas operativos

  • Una sección del documento de Google reconoce que los sitios web pueden usar WEI para bloquear navegadores y sistemas operativos que no les gusten
  • Como mitigación, Google dice que, incluso después de que Chrome implemente WEI, considera no enviar la información WEI en un “pequeño porcentaje” de las computadoras que originalmente podrían enviarla
  • En teoría, un sitio que bloquee navegadores sin WEI también bloquearía a esa minoría de usuarios de Chrome, y las quejas de los usuarios podrían obligarlo a revertir la política
  • Sin embargo, muchos sitios web podrían querer imponer qué navegador y sistema operativo se usa
    • En el pasado hubo casos como “este sitio web funciona mejor en Internet Explorer 6.0 sobre Windows XP”
  • Algunos sitios web podrían aceptar el costo de perder a ese “pequeño porcentaje” de usuarios
  • También podrían indicar a los usuarios que restablezcan los datos del navegador y vuelvan a intentarlo hasta que WEI se active en ese sitio

El conflicto de intereses de Google

  • Google tiene un conflicto de intereses sobre qué tan “pequeño” debe ser ese porcentaje
  • Si establece un porcentaje muy bajo, puede certificar más clics en anuncios, lo que beneficia al área de Google que combate el fraude publicitario
  • Si aumentan los clics publicitarios certificados, Google puede vender anuncios a precios más altos
  • Si establece un porcentaje alto, a los sitios web les resulta más difícil implementar comportamientos excluyentes
  • Pero un porcentaje alto no beneficia directamente a Google y facilita la creación de navegadores competidores
  • Incluso si se implementa esta mitigación, los incentivos de Google apuntan a fijar un porcentaje demasiado bajo para proteger la web abierta

El principio de que el usuario es dueño de su computadora

  • La computadora pertenece al usuario y debe comportarse según sus instrucciones
  • Las leyes que impiden la ingeniería inversa y la reconfiguración de computadoras ya son un problema, pero el riesgo aumenta cuando unos pocos grandes sitios web controlan los cuellos de botella de Internet
  • Unas pocas empresas forman las puertas de acceso entre compradores y vendedores, artistas y audiencias, trabajadores y empleadores, familias y comunidades
  • Si esas empresas se niegan a hacer negocios, la vida digital del usuario puede detenerse
  • La web es la última gran plataforma abierta que queda en Internet
    • Una plataforma en la que cualquiera puede crear y participar con un navegador o un sitio web sin pedir permiso ni cumplir las especificaciones de otros
  • Aunque los sitios web establezcan puestos de control virtuales de “solo pasa tecnología aprobada”, los usuarios deben tener derecho a decir la respuesta que el sitio quiere oír

La intención de WEI y sus usos indebidos previsibles

  • Los proponentes de WEI afirman que quieren que se use solo con fines bienintencionados
  • También critican explícitamente usar WEI para bloquear navegadores o excluir a usuarios que intentan proteger su privacidad
  • Pero los científicos de la computación no pueden decidir cómo se usará realmente una tecnología
  • Agregar certificaciones a la web implica un riesgo suficientemente previsible de que las empresas las usen para atacar el derecho de los usuarios a configurar sus dispositivos
  • Este riesgo crece especialmente cuando las necesidades de los usuarios chocan con las prioridades comerciales de las empresas tecnológicas
  • WEI no debería crearse y, si se crea, no debería usarse

Cómo deberían tratarse las tecnologías de certificación remota

  • No se debería prohibir la certificación remota en sí
  • El código es expresión, y cualquiera debe tener la libertad de estudiar, entender y crear herramientas de certificación remota
  • Las herramientas de certificación remota pueden tener usos dentro de sistemas distribuidos
    • Un fabricante de máquinas de votación podría usarlas para verificar la configuración de los dispositivos en campo
    • Un defensor de derechos humanos en riesgo podría enviar una certificación remota a un técnico de confianza para recibir ayuda a fin de determinar si está infectado con malware respaldado por un Estado
  • Sin embargo, estas herramientas no deben agregarse a la web
  • La certificación remota no es adecuada para una plataforma abierta
  • Los usuarios deben tener la decisión final sobre qué decirles a otros acerca de su computadora y su software

La autonomía del usuario está por encima de los problemas empresariales

  • Se entienden las dificultades de las empresas cuyos ingresos se ven afectados por el fraude publicitario, de las compañías de juegos que luchan contra tramposos y de los servicios que enfrentan problemas con bots
  • Pero resolver estos problemas no puede estar por encima de los derechos de los usuarios de tecnología
  • Los usuarios tienen derecho a elegir cómo funciona su computadora y qué les dice esa computadora a otros
  • El derecho a controlar el propio dispositivo es un elemento fundamental de todos los derechos civiles en el mundo digital
  • La web abierta ofrece más beneficios que daños
  • Si se permite que empresas enormes y monopólicas anulen las elecciones tecnológicas de los usuarios, quizás se resuelvan problemas empresariales, pero no los problemas de los usuarios

1 comentarios

 
GN⁺ 2023-08-09
Opiniones de Hacker News
  • Creo que mi experiencia realista trabajando como ingeniero de seguridad puede ayudar a entender por qué esto terminará mal
    Los bancos son organizaciones muy sensibles a la seguridad, porque el costo de un hackeo es astronómico y las regulaciones exigen hacerlos “tan seguros como sea posible”
    Los bancos no van a adoptar WEI porque odien la web abierta o a los usuarios de Linux, sino porque, si no lo hacen, surgirá un problema de responsabilidad por “no haber hecho todo lo posible por la seguridad”, lo que podría derivar en demandas, sanciones regulatorias y aumentos en las primas de seguros
    Hoy WEI no existe, así que no es un requisito, pero una vez que exista es muy probable que se convierta en una práctica estándar, y quienes se opongan podrían parecer tan poco realistas como quienes se oponen a las cámaras de CCTV por invasión de la privacidad
    Pronto CDN como Cloudflare lo ofrecerán con una sola casilla de verificación, y a los dueños de sitios les resultará difícil desactivarlo por su responsabilidad fiduciaria

    • Trabajo en un banco, pero hasta hace un año la contraseña tenía un máximo de 8 caracteres, no permitía caracteres especiales y ni siquiera distinguía mayúsculas de minúsculas
      Hasta hace 2 años usábamos IE7, buena parte del trabajo todavía consiste en enviarse archivos de Excel por correo, y el simple hecho de que un correo recibido tenga un Excel adjunto se trata como una prueba de validez
      También operábamos un relay SMTP sin autenticación, e ignorando la seguridad real, obligan a usar Windows en las laptops de trabajo
      El motivo era poder ejecutar su script favorito de PowerShell tipo RAT, que descomprime recursivamente todos los jar del sistema para buscar log4shell, y todavía lo hacen
      Las personas que crearon estas reglas y prácticas también operan el sistema central de compensación de pagos del banco central de Dinamarca
      Los bancos no son tanto seguros como conservadores y políticos; hacen sufrir a la gente para mantener el teatro de seguridad, pero en realidad eso es más bien una fachada
      Sin duda adoptarán WEI, pero no traerá seguridad
      Aun así, los bancos tienen un historial bastante bueno protegiendo el dinero de la gente, y eso se debe a la defensa en profundidad en la que los responsables de cumplimiento revisan manualmente las transacciones sospechosas
    • Los bancos pueden ser sensibles a la seguridad de la infraestructura crítica, pero del lado del acceso de los clientes la mejora de seguridad parece muy lenta
      Muchas instituciones grandes todavía solo admiten autenticación de dos factores por SMS, y hasta eso se volvió obligatorio hace poco
      Por eso, aunque esta tecnología se masifique, parece muy probable que las cuentas bancarias no sean de las primeras sino casi de las últimas en exigirla
    • Mi experiencia con los bancos fue la contraria. En medidas de seguridad siempre estuvieron por detrás del resto de la web, y todavía hay bancos que están incorporando autenticación de dos factores
      Que las tarjetas de crédito sean terriblemente inseguras va en la misma línea
      No es porque no les importe, sino porque ven las medidas técnicas como una pequeña parte de la estrategia general de seguridad, y el acceso en línea también como una pequeña parte del negocio y, básicamente, como algo no confiable
      La mayor parte de la web confía en los usuarios autenticados, pero los bancos en general tampoco confían en los usuarios autenticados y ven cada acción como un riesgo potencial, por lo que fortalecer la autenticación en sí tiene una prioridad relativamente baja
    • Incluso ahora muchos bancos exigen una app móvil, que solo puede instalarse desde la tienda de apps, y esa tienda de apps solo puede usarse en dispositivos que el usuario no controla
      Aunque exista una interfaz web, para iniciar sesión hace falta la app móvil
    • Parece inevitable que, una vez que exista, se vuelva un requisito de práctica estándar. Cuando llegue ese momento, ya no usaré sitios web de bancos
      Pero no estoy tan seguro de la parte de que los opositores “parecerán poco realistas y no durarán mucho en esa postura”
      Las personas que se oponen a la vigilancia universal no parecen poco realistas para la mayoría, ni cambian de postura
  • El breve párrafo que dice que unas pocas empresas controlan los cuellos de botella entre compradores y vendedores, artistas y público, trabajadores y empleadores, familias y comunidades, y que si se niegan a operar la vida digital se detiene, resume bien la extraña situación a la que hemos llegado
    Las partes afectadas negativamente son, en la práctica, casi toda la sociedad, y estos gatekeepers tienen aliados naturales como políticos capturados, personas en nómina o mercados que ignoran las externalidades
    Aun así, es raro que puedan someter a una sociedad entera con recursos financieros, políticos e intelectuales casi ilimitados
    Parece al punto de que ya estuviera funcionando un control mental a escala de sistema

    • Si la conclusión lógica es una conspiración masiva de control mental, habría que revisar las premisas
      Yo diría que no es que toda la sociedad esté siendo extorsionada, sino que a la mayoría simplemente no le importa
      No es algo tan loco; no es control mental, sino la vieja indiferencia e ignorancia
    • También vale la pena mirar la historia de los ferrocarriles y las telecomunicaciones
    • Necesitamos reglas que faciliten mover datos y libretas de direcciones, controlar la propia privacidad, y crear opciones más compatibles para almacenar, buscar, ordenar, jerarquizar y filtrar datos
  • En general estoy de acuerdo, pero una cosa: TPM no significa Technical Protection Module, sino Trusted Platform Module

    • Puede haber sido un intento de crear una sigla más precisa, como llamar al DRM digital restrictions management
    • La EFF es conocida por usar a veces expansiones alternativas de siglas
      No llega al nivel de la FSF, pero suele mezclar comentario editorial, y en este caso suena como si alguien hubiera querido ser sarcástico
    • Al principio pensé que este post del blog era tercerizado, pero era un artículo real y bastante bueno
      Aun así, parece ser un error sobre TPM, o un intento de introducir una expansión alternativa como con otras siglas
    • Es un error bastante raro. Me pregunto si lo escribió una IA por encargo y alucinó
  • Haciendo de abogado del diablo, esta tecnología ya existe; el problema es si se hace atestación del cliente en el navegador o si se finge que no existe la atestación remota.
    Si se rechaza, los servicios que necesitan un “cliente confiable” podrían descartar las web apps y depender de apps para iOS/Android.
    No intento defender WEI, pero no es un problema que vaya a desaparecer mágicamente porque Google no lo implemente en Chrome; solo se trasladará a otro lado.
    La verdadera pelea fue cuando se implementó TPM en primer lugar.

    • El problema es que esto es muy fácil de abusar para quien lo implementa, o incluso parece diseñado para eso.
      Es parecido a que solo Microsoft tenga autoridad sobre las claves de Secure Boot.
      Los dispositivos móviles ya tienen muchas capacidades de atestación, como áreas seguras, procesadores seguros y funciones criptográficas de las tarjetas SIM.
      No necesitamos una tecnología que inevitablemente pueda abusarse para excluir a la gente con conocimientos técnicos de la Internet cotidiana según reglas arbitrarias.
      No hay controles ni contrapesos, y es un paquete de facultades muy amplio impuesto al usuario.
      Esto no es una propuesta ni un experimento, sino un intento de empuje forzado.
    • Recomiendo leer el documento Web Platform Design Principles del TAG.
      Explica bien por qué la web es distinta de las apps móviles y nativas, y por qué una API como la atestación del cliente, aunque sea posible en entornos móviles, resulta dañina si se implementa en la plataforma web.
      Por ejemplo, la propuesta WEI viola el principio de que “visitar una página web debe ser seguro” (https://www.w3.org/TR/design-principles/#safe-to-browse).
      Las funciones nuevas deben diseñarse para preservar la expectativa del usuario de que visitar páginas web generalmente es seguro.
      Para que la web se mantenga viva, los usuarios deben poder esperar que el solo hecho de visitar un enlace no afecte aspectos esenciales de la seguridad o la privacidad de su computadora.
      Por ejemplo, una API que permita a cualquier sitio web detectar si se usan tecnologías de asistencia podría hacer que los usuarios de esas tecnologías sientan que visitar páginas desconocidas es riesgoso.
      Si esta expectativa de seguridad es realista, los usuarios pueden tomar una informed decision entre tecnologías basadas en la web y otras tecnologías.
      Instalar una app nativa es más riesgoso que visitar una página web, así que un usuario puede elegir una página web de pedidos de comida en lugar de instalar una app.
      Entre los usuarios cautelosos, aunque no necesariamente muy técnicos, hay muchos que se niegan por completo a instalar apps móviles salvo que provengan de sus fuentes de mayor confianza, y este principio ofrece un buen marco para entender por qué los usuarios siguen prefiriendo la web.
    • A la pregunta de si, al rechazarse esto, los servicios que necesitan clientes confiables eliminarán sus web apps y dependerán de apps para iOS/Android, se puede responder que eso ya está ocurriendo.
      Antes Venmo tenía una web app completa, pero ahora no se puede enviar ni recibir dinero desde la web.
      Muchas funciones de Chase también son solo para celular.
      Y muchas de esas apps bloquean iPhones con jailbreak o Android rooteados si pueden detectarlos.
    • En mi computadora no se está fingiendo que no hay atestación remota: realmente no existe.
      Si el banco la exige, simplemente me bloquean el acceso.
      No hay daemon de atestación y, aunque lo hubiera, el banco no confiaría en él.
      Aunque Firefox lo agregara, seguiría sin funcionar en mi computadora.
      La gente habla solo del navegador, pero yo quiero seguir usando un sistema operativo sin adware ni spyware integrado.
      La computadora que poseo está bajo mi control, y la atestación remota existe precisamente para impedir ese control.
      Ese es el problema de fondo.
      Si los bancos o las corredoras lo implementan, tendría que comprar una computadora nueva dedicada, o hacer operaciones bancarias solo por teléfono o en persona.
      Es un desperdicio enorme y no ayuda a la seguridad, pero una vez que exista entrará en la checklist que los bancos seguirán.
    • Trasladar el problema a otro lado es, de hecho, algo bueno.
      El objetivo aquí no es ampliar el espacio donde se usa la atestación del cliente, sino reducirlo.
      Cada mínima reducción es una victoria, y primero se puede sacarla del navegador y luego abordar la atestación nativa de las apps.
      El argumento de “si se rechaza, los servicios se irán a apps nativas” también apareció exactamente igual con EME.
      Ahora podemos mirar en retrospectiva el impacto de EME: no impidió el traslado a apps nativas, empresas como Netflix implementaron EME pero mantuvieron de todos modos la mayoría de las restricciones que ya planeaban, y perjudicó la diversidad de navegadores.
      Decir “simplemente no lo haremos” en la web puede sonar intimidante, pero ya vimos que ceder al miedo tampoco funciona.
      Los sitios que quieran irse a lo nativo lo harán, y WEI no será la justificación comercial para quedarse en la web o abandonarla.
      Los que quieran volverse solo nativos no van a crear de pronto un sitio web porque exista WEI; simplemente harán lo que ya iban a hacer y sumarán WEI a la caja de herramientas para limitar la autonomía del usuario.
      Es bueno que las empresas que quieran depender de la atestación del cliente se vean obligadas a renunciar a su presencia en la web, y se está subestimando el poder de la web.
      La web no va a morir por no soportar WEI.
  • Está bien recomendar el texto de la EFF, pero también se puede donar directamente para ayudar a campañas como esta.

  • No entiendo por qué debería importarme ayudar a reducir el fraude publicitario de Google y apoyar su negocio publicitario.
    Este es un problema de Google, y no hay razón para que yo participe en enviar información de mi computadora personal a terceros para que Google gane más dinero.

  • WEI se parece un poco a cuando, en las antiguas redes telefónicas, a las personas no se les permitía ser dueñas de su propio teléfono y conectarlo a la red.
    Al final el gobierno declaró eso ilegal.

    • Probablemente ese sea también el camino más probable al que vayamos.
  • Es uno de los textos más detallados y equilibrados que he leído hasta ahora sobre este tema
    Pero, como otros artículos, omite una explicación muy importante sobre Web Environment Integrity
    Esto no forma parte de la web
    Es enteramente un borrador de Google para una función de Google Chrome, y aunque Google es miembro del W3C, no es algo que esté haciendo en calidad de miembro
    Creo que está tan limitado a los intereses de Google que sería difícil que una propuesta así llegara siquiera a la carta de un grupo de trabajo
    La única razón por la que es una amenaza para la web es el abrumador dominio de mercado de Google, que ya se acerca a un monopolio
    Me preocupa que el uso destacado del término “Web” en este tipo de documentos manche la reputación del W3C, que cuenta con un proceso sólido[1] para evitar intereses de corto plazo que podrían causar daños de largo plazo a la apertura de la web
    [1]: https://www.w3.org/Consortium/Process/

    • Hoy en día los estándares web no los hace el W3C, sino WhatWG, donde están Google, Apple y Mozilla, pero en su mayoría es Google
  • Es una explicación muy bien escrita. Me gustaría ver más seguido explicaciones de este tipo

    • Está mucho mejor escrita que los artículos que al principio llegaron a la portada de HN
      Parece que la gente entendió esto como una verificación de bloqueo de anuncios, pero la propuesta original dejaba claro que las extensiones del navegador no tenían nada que ver con WEI
      WEI invoca el sistema operativo existente y una API de atestación basada en TPM, y proporciona ese estado de atestación al sitio
    • No tanto
      Sigue pareciéndose a cuando los opositores al cifrado dicen “piensen en los niños”
      Aún no veo una explicación de cómo WEI cambiaría mágicamente el comportamiento de los operadores de sitios web
      Los operadores ya pueden bloquear clientes no deseados, pero no lo están haciendo en un grado que obstaculice de forma sustancial la “internet abierta”
      Si Apple no lo implementa, WEI no tiene sentido, y el único efecto que la discusión actual tendrá sobre Apple probablemente sea cómo presentará públicamente esa decisión
  • Como todavía puedo hacer que mi computadora diga lo que yo le ordeno, hice una pequeña extensión de Firefox que decide qué decir
    Es infantil y trivial, pero a veces se siente bien ejercer tus derechos
    [1] https://github.com/rogual/wei-gfy