1 ポイント 投稿者 GN⁺ 2023-07-27 | 1件のコメント | WhatsAppで共有
  • Vivaldiは、Web Environment IntegrityがWebサイトにブラウザやプラットフォームの信頼性を判定する権限を与えることで、オープンWebのアクセシビリティと競争を揺るがしかねないと見ている
  • この提案は、第三者のattesterが実行環境を検証する仕組みで、偽のインタラクション防止を掲げているが、Webサイト向けのDRMのように機能する可能性がある
  • 信頼性の判定が少数の企業に集中すると、新しいブラウザ、小規模ブラウザ、レガシーソフトウェア、LinuxユーザーがWebアクセスから締め出されるリスクが高まる
  • ブラウザが実装を拒否しても、WebサイトがAPIを要求すればユーザーをブロックでき、GoogleのサービスやGoogle Adsが採用圧力として働く可能性がある
  • 2023年11月3日時点でGoogleはWeb Integrity APIを進めないことにしたが、ブラウザとブラウザエンジンの多様性は引き続き必要である

Web Environment Integrityが実現しようとしていること

  • Web Environment Integrityは、Webサイトが現在アクセスしているブラウザとプラットフォームを信頼できるかどうかをAPIで確認できるようにする提案である
  • 信頼できるかどうかは、権威ある第三者であるattesterが判定する仕組みである
  • 目的は複数のWebサイトで「偽の」インタラクションを防ぐことに近いが、具体的な方法は不明確である
  • ユースケースは表面的には合理的に見えるかもしれないが、実際の効果はWebサイト向けのDRMに近づく可能性がある
  • 最初のユースケースが広告インタラクションの真正性確認である点は、Googleの広告プラットフォーム強化と結び付く可能性がある

ブラウザの信頼性判定が生む排除

  • 特定の主体がどのブラウザを信頼するかを決めるようになると、どのブラウザも自動的に許可される保証はなくなる
  • 新しいブラウザは基本的に信頼されない状態から出発し、attesterが納得する形で信頼性を証明しなければならない
  • 仕様をサポートしないレガシーソフトウェアのユーザーは、時間がたつにつれてWebから排除される可能性がある
  • 仕様がベンダー排除のリスクに言及していたとしても、実際の解決策なしに及び腰の対応にとどまる可能性がある

プラットフォーム別attesterと競争上の懸念

  • 仕様における主なattesterの例は、AndroidのGoogle Playである
    • この仕組みでは、Googleが自社プラットフォーム上でどのブラウザを信頼するかを決めることになる
    • Vivaldiは、Googleが公正に判断すると期待するのは難しいと見ている
  • WindowsではMicrosoftがWindows Storeを通じて、MacではAppleが同様の役割を担う可能性があると述べられている
    • この流れでは、少なくともEdgeとSafariは信頼される可能性が高い
    • 他のブラウザはGoogle、Microsoft、Appleの判断に依存することになる
  • Linuxについては明確な答えがない
    • LinuxがWebブラウジングから完全に排除されるのか、Canonicalがsnapsパッケージリポジトリを通じて決定者になるのかは不明である
    • Linuxユーザーにとっては望ましくない状況のままである

人間判定、自動化、拡張機能の不確実性

  • 仕様は、実際の人間がWebサイトとインタラクションしているかを確認する目的を強く示唆しているが、それを実現する方法は明確ではない
  • 残る疑問は次のとおりである
    • ユーザーが人間らしく振る舞っているかを見るために行動データを使うのか
    • このデータがattesterに提供されるのか
    • ブラウザ入力の自動化に依存するアクセシビリティツールが、ブラウザを信頼できないものにしてしまうのか
    • 拡張機能にどのような影響を与えるのか
  • 現在の仕様はブラウザの改変と拡張機能に例外を設けているが、拡張機能はWebサイト上のインタラクション自動化を容易にし得る
  • 例外を維持すれば攻撃者が回避しやすくなり、例外を減らせば拡張機能にも制限が適用される可能性が生じる

実装拒否が難しい理由

  • ブラウザがWeb Environment Integrityを実装しなければ、信頼されないブラウザになり得る
  • WebサイトがこのAPIを要求すれば、そのブラウザのユーザーを拒否できる
  • GoogleにはWebサイトでの採用を推し進める手段がある
    • Google自身のサービスをこの機能に依存させることができる
    • GoogleのWebサイトを利用できなくなることは、ほとんどのブラウザにとって致命的になり得る
    • Google Adsを使うサイトにAPIの使用を求めることもできる
  • 最初の目標が偽の広告クリック防止であるなら、Google Adsとの結合だけでもAPIの採用は急速に広がる可能性がある

法的な歯止めの可能性と限界

  • Vivaldiは、EU法が少数の企業にどのブラウザを許可するかを決める大きな権限を認める可能性は低いと見ている
  • attesterは可能な限り公正であるべきだという強い圧力を受ける可能性がある
  • ただし立法と司法の手続きは遅いため、政府や裁判所が検討している間にすでに被害が生じる可能性がある
  • 提案が進めばオープンWebに困難な時期が訪れる可能性があり、小規模ベンダーは特に大きな影響を受ける可能性がある

Googleの過去の提案と市場支配力

  • Googleのブラウザ市場における支配力は、Webに対する存在論的な脅威になり得ると評価されている
  • Vivaldiは、Googleが以前にもWebにとって望ましくない提案を出してきたと見ており、例としてFLOCTOPICClient Hintsを挙げている
  • Web Environment Integrityはこの流れの延長線上にあり、MicrosoftとAppleがGoogleと協力してブラウザとOSの競争を制限するように仕向ける可能性がある点で、より大きな脅威として扱われている
  • 長期的には、Googleをより平坦な競争環境に置く必要があり、法制化とGoogleの市場シェア縮小の両方が必要である

2023年11月3日の更新

  • GoogleはWeb Integrity APIを進めないことにした
  • Vivaldiはこれを、オープンWebの中立性にとって非常に前向きな出来事と見ている
  • ただしGoogleはWeb全体の利益よりも自社の利害に大きく動かされると見ており、何がこれに取って代わるのかを見守る必要があるとしている
  • FLOCの後にTopicsが出てきたように、一見すると押し付けがましさは少ないが、ユーザーに有害な仕様が出てくる可能性への疑念も残っている
  • この決定が、Googleの広告課金モデルをクリック課金からインプレッション課金へ移行するという最近の発表と重なっている点も疑わしいと見ている
  • 単一の主体がWebの未来を左右できないようにするには、ブラウザとブラウザエンジンの多様性が重要である

1件のコメント

 
GN⁺ 2023-07-27
Hacker News の意見
  • Google がこういうことを言うのは特にあきれる。Android の SafetyNet は名目上はセキュリティのためだが、実際にはセキュリティを大きく低下させる結果を生んでいる
    最新で安全なサードパーティ ROM はブロックする一方で、メーカーが提供するひどく脆弱な ROM は通してしまう。ブロックすればユーザーの反発が大きいので、そのままにしているのだ
    結局、平均的なユーザーに意味のあるセキュリティ向上をもたらすというより、ベンダーロックインとして機能し、上級ユーザーが新しいハードウェアを買わずにセキュリティを改善する道を塞いでいる。こうした attestation がユーザーに正当な利益をもたらすという主張には、もっと強く反論すべきだ

    • ユーザーに敵対的なロックされた電話の話で言えば、この提案を出した Google 社員 Ben Wiser のブログ最新記事が、自分の iPhone で望むソフトウェアを自由に動かせないのが不当だと不満を述べている、という点はものすごい皮肉だ
      https://benwiser.com/blog/I-just-spent-%C2%A3700-to-have-my-...
      https://github.com/RupertBenWiser/Web-Environment-Integrity
    • ほとんどどんなソフトウェアやウェブサイトでも、利便性やセキュリティ向上のようなユーザー利益があると装うことはできる。より重要な問いは、作った側にどんな利益があるのか、そしてそれが実際に何をするのかだ
      過剰なデータを漏らさないウェブクライアントを使うことはできるが、Google は私たちがそういうクライアントを使わないことを望むだろう。承認されていないウェブクライアントをすべて「ボット」とし、ユーザーの環境情報を過剰に公開しないウェブ利用をすべて「不正」として見せかけることもできる
      すべてのウェブ利用を商業行為とみなし、すべてのウェブサイトを広告の器として扱う全か無かの思考は、典型的な認知の歪みに近い
    • その通り。回避自体は些細だが、端末を root 化する必要があるため、カスタム ROM でもむしろセキュリティ低下が起こり得る
    • GrapheneOS にはその説明は当てはまらない
      https://grapheneos.org/articles/attestation-compatibility-gu...
      SafetyNet 自体もすでに廃止予定だ
      https://developer.android.com/training/safetynet/deprecation...
  • 論争になるブラウザ機能はいつも似ている。実装しなければ、その機能を要求するウェブサイトでユーザー体験が悪くなる可能性がある
    しかしソフトウェアの作り手なら、顧客にとって何が最善かを自分で判断すべきだ。これに従わない唯一の希望が EU が Google を叱りつけることだけだとしたら、自ら強い立場を取る意思がないように見えて心配だ

    • 大手ウェブサービスの中で、ユーザーにとって最善かどうかに従って動くところはほとんどない。これが勢いを得れば、Google は「信頼されていない」ページで発生したインプレッションについて AdSense の支払いを拒否できるし、広告収益に依存する大手事業者はユーザーのことなど気にせず、すぐに WEI を実装するだろう
    • これはカテゴリーエラーに近い。ほとんどのブラウザ機能や API は、ユーザーに十分普及するまでは段階的な改善として扱われ、後になって機能の存在を前提にするとしても、たいていは体験の低下にとどまり、サイトが完全に壊れることはない
      しかしウェブ attestation は違う。ウェブサイトが要求し、ブラウザが実装していなければ、少なからぬ場合にユーザーはそのサイトから完全に締め出される可能性がある
      さらに Vivaldi が WEI を実装したとしても、attestation 機関である Google、Microsoft、Apple、またはウェブサイト自体が Vivaldi を有効な環境として認めない可能性も大きい。広告ブロック拡張、ユーザー自動化、スクリプティングのように、ユーザーにあまりに多くの自由を与えるブラウザを「許容可能な環境」と見なすかは疑問だ
    • WEI が違うのは、他のウェブ機能をどう実装するかについての選択権まで事実上コントロールすることだ。例えば要素ブロックを許可するか、開発者コンソールを見せるかにまで影響し得る
      Encrypted Media Extensions を除けば、それも WEI よりずっと限定的だが、こういう形で動作するウェブ標準はあまり思い当たらない
    • Google は最も人気のある検索エンジンと広告ネットワークも支配しているので、従わないウェブサイトに広告やトラフィックを与えない形で、ウェブ開発者に相当な圧力をかけられる
      すでにすべての広告をブロックしているので、広告収益の最大化を基準に判断する開発者に全面的に共感するわけではないが、ここで開発者に「あなたの選択なのだから、ただ拒否すればいい」と負担を押しつけるのは公平ではない
    • Google はこうした試みをして、以前にも押し戻されたことがある。思い浮かぶだけで 2 つある
      1. FLoC: https://www.theverge.com/2022/1/25/22900567/google-floc-aban...
      2. Dart: Google は JavaScript を置き換えようとしたが、Mozilla と Microsoft が参加していないという理由で拒否され、最終的にプロジェクトは死んだ
        Google は多くのことを試みている。Mozilla、Microsoft、Apple はまだ十分に強く、特に米国外では悪いアイデアだと見なすものに対抗できる
  • これまでの関連スレッドはこのくらいのようです。見落としはあるでしょうか?
    Google is already pushing WEI into Chromium - https://news.ycombinator.com/item?id=36876301 - July 2023 (705 comments)
    Google engineers want to make ad-blocking (near) impossible - https://news.ycombinator.com/item?id=36875226 - July 2023 (439 comments)
    Google vs. the Open Web - https://news.ycombinator.com/item?id=36875164 - July 2023 (161 comments)
    Apple already shipped attestation on the web, and we barely noticed - https://news.ycombinator.com/item?id=36862494 - July 2023 (413 comments)
    Google’s nightmare “Web Integrity API” wants a DRM gatekeeper for the web - https://news.ycombinator.com/item?id=36854114 - July 2023 (447 comments)
    Web Environment Integrity API Proposal - https://news.ycombinator.com/item?id=36817305 - July 2023 (437 comments)
    Web Environment Integrity Explainer - https://news.ycombinator.com/item?id=36785516 - July 2023 (44 comments)
    Google Chrome Proposal – Web Environment Integrity - https://news.ycombinator.com/item?id=36778999 - July 2023 (93 comments)
    Web Environment Integrity – Google locking down on browsers - https://news.ycombinator.com/item?id=35864471 - May 2023 (1 comment)

    • 関連する投稿が1つありましたが、フラグ処理されました
      “I don't know why this enrages folks so much.” Googler re Chrome anti-feature https://news.ycombinator.com/item?id=36868888
      十分なカルマを持つユーザーたちがフラグを付けたようですが、しばらく「[flagged]」とは表示されないまま、前の方のページにも出ず、さらに推薦も受けなくなっていて混乱しました。「[flagged]」表示には遅延があるのかもしれません
  • 本気で抗議するなら、こうできます。各自のWebサイトに、ユーザーエージェントがこのAPIを実装しているか確認するコードを入れ、通過したらそのブラウザは歓迎されないと理由付きで知らせるのです
    #BoycottGoogle #BoycottChrome #BoycottBullshit

    • 共感しますし、みんなでそうできればよいのですが、私が一緒に働いているお金を握っている人たちが同意する姿は想像できません
    • それを上司に言うべきです。それに、Googleが望めばこれを隠す方法も作れそうです
  • いつものようにGoogleのWEIについての長文ですが、Appleがすでにひっそりとこの船を出していて、そのためほとんど注目も反発も受けなかった点には触れていません
    https://httptoolkit.com/blog/apple-private-access-tokens-att...
    https://toot.cafe/@pimterry/110775130465014555
    技術ニュースとブログの残念な状態です。より大きな構図を見ず、同じドラマを繰り返しているだけです

    • 世界中の多くのインターネットユーザーと同じく、Apple製品を持っていないので気づきませんでしたし、影響を受けたこともなく、おそらく今後もそうである可能性が高いです
      一方で、Google AnalyticsやGoogle広告を使うWebサイトとは今後もやり取りします。それらのサイトが私の選んだブラウザを拒否し始めれば、インターネットのかなりの部分で実際に締め出されることになります
      残りの**インターネットユーザーの60%**も、事実上この技術を受け入れるよう強制される可能性があります。影響を受けるユーザーが1桁から2桁倍も多いのですから、警鐘を鳴らす十分な理由になります
    • 記事でもその点を述べています。Safariは支配的なWebブラウザではないため、同じ問題にはなりません。Appleがこれで行使できる力は非常に限られています
    • 「あっちにもっと大きな悪者がいる」という式の擁護は、勝てる戦略ではありません
    • 個人的には、Private Access TokensはWEIほど悪くはないと思います。PATはCAPTCHAを回避する程度ですが、WEIは人々をサイトから完全に締め出す可能性が高いです
    • 間違いなく、もっと注目されるべきでした
  • 最初のユースケースが広告インタラクションが本物かどうかを確認することだという点は、始まりにすぎない。Attestationは最終的に、広告主に「ユーザーが実際にその場にいて画面を見ていること」を要求させるようになる可能性がある
    Black Mirrorの「Fifteen Million Merits」エピソードのようになり得る

    • Sonyはすでに、Black Mirrorのまさにそのシナリオに関する特許を持っている
      https://www.creativebloq.com/sony-tv-patent
      テレビ視聴者が広告をスキップするにはブランド名を叫ばなければならない、という内容だ。「McDonald's!」と叫ばないとBig Macが消えない、という具合
      企業は止められなければ、最も狂ったことやひどいことをするし、実際にそれは起きる
    • Androidでは、一部の動画広告は通知シェードを下ろしても一時停止する
    • すべてのメディアサイトが必ず使わなければならないホストブラウザの中に、WASMで実装されたブラウザエンジン全体をさらに載せる日が待ち遠しい
  • いま必要なのは2つ。第一に、Googleを検索と広告に分割する反トラスト分割。第二に、広告税
    検索エンジンが広告を出しすぎることを、経済的に損になるようにしなければならない

    • 1つ目には同意するが、2つ目は狙いを外しているように思う。これは検索とはあまり関係がない
      Googleが最大の広告販売者であると同時に、最も人気のあるブラウザであるChrome/Chromiumの作り手でもあるという市場での地位を利用して、ユーザーがどのWebサイトでもGoogle広告を見ずにはいられないようにしようとしているのだ
    • 検索と広告を分離するというアイデアはゲームチェンジャーになり得ると思うが、検索は広告なしでどう収益化し、ランキングアルゴリズムを損なわずにいられるのだろうか?
    • 検索エンジンが広告を表示すること自体が、経済的に損になることはないだろう。ファーストビューの広告枠は常に高く売れる
      その代わり、戦術的に損になるべきだ。広告は精度を損ない、ユーザーを離れさせるからだ。しかし、はるかに正確な競合がいなければ、長く持ちこたえられる
      Google検索には希望の兆しもある。精度が落ちたと報告する人もおり、Googleはスパムを避けるために独特の挙動を変え続けているが、その過程で人々がSEOやGoogle検索のコツに注いできた努力を無価値にしている。ただし、この2つは同じ現象なのかもしれない
  • 「このWebサイトはお使いのデバイスと互換性がありません」という文言がYouTubeに表示される様子が目に浮かぶ
    Googleの支配下にあり、公式ブラウザで広告を見てほしいのだから、不思議ではない。銀行アプリにも早い段階で入るかもしれない
    長期的には衰えて死ぬか、反トラスト措置につながるだろう。他の道はあまり見えない

    • すべてのストリーミングサービスが海賊版対策を名目に素早く実装する可能性が高い。効果はなく、より自由を尊重するブラウザやOSで見たい人たちだけを害することになるだろう
    • AndroidやiOSのようにブートから続く完全な信頼の連鎖がない限り、また独占的なデスクトップ環境が提供できる場合でない限り、「私は正規のブラウザです」というやり取りは偽造できるはずだ
      気にする1%はそうするだろう。しかし、かつてはオープンなWebだった場所で、今や地下の「クラック」のような方法へ降りていかなければならないという点がひどい。検出されればブロックされる危険もある
    • 銀行が狙いではない。銀行が障害者、障害のある法人アカウント管理者、高齢者を妨げる措置を取れば、大きく叩かれるだろう。慎重に動かざるを得ない
  • WEIがドアののぞき穴より具体的に何が悪いのか分からない。ボットはすでに大きな問題で、さらに悪化している。代替案は何か?
    現実でもWebでも、相手が誰なのかを知る必要がある。おそらく自分は少数派だろうが、WEIは良いものだと思う
    サイトを運営したことがある人なら、ボットがどれほど厄介か分かるはずだ。ボットを気にしないサイトはWEIを使わなければいい。もちろん実際には使うだろう。ボットが厄介だからだ
    AIが発展するにつれて、これはどうせ避けられなかった。そうでないと考えるのは妄想に近い

    • SSLは実際にはサーバー証明書にしか使われない。認証局のせいでいまいちで不満も多かったが、Let’s Encryptが登場して状況は改善した。そしてアイデンティティはドメイン制御にだけ結び付いており、コード署名証明書のような、はるかに侵襲的で実質的に商売の場になっているものとは違う
      WEIには「承認済みデバイス」方式の本物のDRMになる可能性がある。非常に侵襲的で、大企業の意向次第で、スクリーンリーダー、広告ブロック、トラッキング防止、フィンガープリント防止、著作権コンテンツのダウンロード、そして今後思いつくあらゆる利用方法を排除するために使われ得る
      文字通りWebをApp Storeに、よく見ても複数のアプリストアに変えるための門番だ。ボットが問題なら具体的に言うべきだ。良いボットも多いし、皮肉なことにボットトラフィックの大半は、こうしたものを推進している大企業から来ている。悪性ボットにはIPブロックリストがあり、グレーゾーンの操作ボットは問題だが、なぜ全ユーザーに強制的な手錠をかけなければならないのかは別問題だ
    • WEIの本質は、ユーザーが自分のデバイスを完全に制御できないようにすることだ。人にデバイスの制御権を与えれば、ボットは生まれる。ボットの排除が汎用コンピューティングより重要だと信じるかどうかの問題だ
      ボットとは単に、所有者が望むことを行うコンピュータにすぎない。WEIを好む立場は、他人がコンピュータを自分の気に入らない形で使うのが不快だから、そのコンピュータの制御権を奪いたがっているということになる
      強いAIが目前に来たいま、汎用コンピューティングを奪おうとする動きが見える。最悪の結果はすべて、人々が自分のコンピュータを制御する能力を失うことから生じる
    • SSLは、何らかの第三者が私のソフトウェアとハードウェアを承認しなければ動作しないように要求するものではない
    • TLSは、Webサイトがユーザーの望む技術スタック、つまりハードウェア・OS・ブラウザの使用を制限できるようにはしない。WEIはそれを可能にする
    • この機能のないブラウザを使う人は、Webを使うために極端な手順を踏まなければならない二級市民になるか、そもそもWebの大部分からブロックされる可能性がある
      個人的に作ったWebスクレイパースクリプトをいくつも使っている。たとえば、すべての給与明細をデジタルコピーとして持っている。こうしたものはほぼ全部使い物にならなくなるだろう
      以前の職場の退職年金サイトは、月別明細を手動でしかダウンロードできないようにしており、Mechanizeライブラリを検出してロボット禁止の警告を表示していた。毎月手動でやる人はいないだろうに、ロボットも許可していなかったわけだ
      それでも当時は、ブロックするにはどこかに特殊なソフトウェアをインストールする必要があったが、これはそうした行為をはるかに簡単にしてしまう。Seleniumのようなツールも心配だ。これはSSLではない
  • この提案に対する道徳的な怒りは大きく、当然のことです。むしろもっと強くなるべきです。ただしそれとは別に、この提案はいずれにせようまく機能しないように思えます
    反対なく実装されれば、閉じたループの堅牢な DRM Web となり、立法者の関心を引くでしょう。そうなってほしいところです
    反対するブラウザが残っていれば、Webサイト側にとっては大して役に立ちません。どのみち不正検知のためのバックアップメカニズムを維持しなければならないからです。維持するのであれば、はるかに多くの個人データを収集できる既存の方式を単一の解決策として使うほうがよい、と判断するでしょう

    • これはそもそも個々のWebサイトのためのものではありませんでした。純粋にGoogleの 広告事業 を守るための措置です