Google vs オープンウェブ
(interpeer.io)- Googleの Web Environment Integrity(WEI) 提案は、Webサイトがブラウザ環境の証明を要求し、承認されていないクライアントをブロックできるようにすることで、オープンウェブをサイロ化されたアプリのようなものに変え得る
- 仕組みの中核は、外部の attestation agent がブラウザとプラグインを検査し、その結果に基づいてWebサイトがアクセス許可の可否を判断する点にある
- 明示されたユースケースには Google Play が証明提供者として登場し、広告が自動化プロセスではなく正当なユーザーにのみ配信されるようにする 広告表示・ボット遮断 のシナリオが含まれる
- ブラウザの選択、広告ブロッカー、古い端末、支援技術に依存するユーザーが排除され得るため、アクセシビリティ・包摂性 とオープンウェブの生成性がともに揺らぐ
- Google リポジトリでの issue・コメント遮断、Mozilla の反対、Apple Private Access Tokens と IETF PrivacyPass における attester の不明確さにまで話が及び、標準化と規制対応の課題が残っている
WEIがオープンウェブを脅かす仕組み
- Web Environment Integrity(WEI) は、Webサイトがブラウザ環境の「完全性」の証明を要求できるようにする提案である
- Webサイトは特定の端末やブラウザでのみページを表示し、他のクライアントにはサービスを拒否できる
- この仕組みは、クライアント側ソフトウェアを特定のWebサイトに結びつけ、サイロ化されたアプリ を作る効果を生む
- 好ましいクライアントソフトウェアを使えないプラットフォームやユーザーは不利益を受ける
- 十分に新しい端末を持つことが難しいユーザー
- 特殊なブラウザや支援技術が必要なユーザー
- スクリーンリーダー性能や古い・低価格端末との互換性が重要なユーザー
- このような排除の可能性のため、WEI はWebの設計原則に反する 反社会的提案 だと批判されている
ブラウザ証明メカニズム
- WEI は、ブラウザが自らの「完全性」に関する attestation を外部 agent から受け取り、Webサイトに渡す仕組みである
- agent はブラウザとプラグインを検査し、検査に通った場合にのみ承認を発行するものと想定されている
- Webサイトはこの承認結果を見て、サービスを提供するかどうかを決められる
- 表向きはユーザーのために環境が改ざんされていないことを保証する機能のように見えるが、実際のユースケースは 事業者保護 により近い位置づけになっている
- 提案には、Google Play が証明提供者になり得ることや、広告が自動化プロセスではなく正当なユーザーにのみ配信されるようにする例が含まれている
広告、ボット、広告ブロッカー
- 提案の背景には、広告表示とボットをめぐる利害関係がある
- 広告主はコストを下げたい
- Webサイト運営者は広告を表示したい
- Google の広告ネットワークは impression 単位で課金する
- ボットは impression を生成する
- WEI は、ボットを証明で排除し、Google Play にログインしたユーザーにのみ広告表示が発生するようにする解決策として読める
- ボットは一般に user agent 文字列などのログ情報だけでも判別できることが多いが、user agent は偽装できる
- 十分に動機づけられたボットは、より強いセキュリティ対策も回避でき、Selenium WebDriver のようなツールで正規のブラウザを使ってリクエストすることもできる
- 核心的な弱点は attester にある
- 攻撃者が attester を説得してクライアントを正当なものに見せられる可能性がある
- あるいは、attester が問題視しない形で正規クライアントを利用できる可能性がある
- 結局、ボットは実ブラウザ並みに高度化して attestation を通過できるようになり、WEI はボットよりも 広告ブロッカー を狙ったものだと解釈される
悪用の可能性とブラウザ戦争の再来
- attestation agent がどのようにブラウザを承認または拒否するかは自由に決められる
- この仕組みは、恣意的な悪用への扉を開き得る
- Webサイトが独占的なデータ収集 agent のインストールを要求できる
- 特定のブラウザを使わなければサービスを拒否できる
- 1990年代後半の ブラウザ戦争 が再現される可能性がある
- 広告ネットワークによるユーザー追跡はますます批判されており、広告ブロッカーはセキュリティ手段としても推奨されている
- 広告は正規のWebサイトにマルウェアをサイドロードする経路になり得るため、セキュリティ専門家が広告ブロッカーの利用を勧めることがある
- WEI が受け入れられれば、オープンウェブが数十年後退するという批判につながる
生成的システムからアプライアンスへ
- Jonathan Zittrain の『The Future of the Internet -- And How to Stop It』は、電話網を出発点に アプライアンス と 生成的システム を区別している
- アプライアンスはトースターのように一つの主機能を中心に動作し、他の機能はその派生に近い
- PC とインターネットは、特定の主目的なしに基本機能を提供し、その目的をユーザーが決める 生成的システム に分類される
- オープンウェブは、ユーザーが開発した非独占的フレームワーク群の集合であり、相互運用性と提供者・エンドユーザー間のデータアクセスおよび所有のバランスを重視する
- agent の恣意的判断に基づく attestation は、Webをアプライアンスへ変え、より正確にはブラウザをアプライアンス型Webサイトの拡張へと変えてしまう
- Webサイト運営者はすでにアプライアンスを作れるが、このような変化が積み重なると、生成的なオープンウェブの有用性が低下する
アクセシビリティと規制の論点
- WEI が原理的にアクセシビリティ問題を直接「発生」させるわけではないが、費用対効果の観点からブラウザ市場の20%に集中して80%のユーザーを確保するという発想が働き得る
- 残りの20%のユーザーは、サポートコストが高いという理由で無視される可能性がある
- 特殊なブラウザが必要なユーザー
- スクリーンリーダー性能が重要なユーザー
- 低価格・旧型端末で動作するブラウザが必要なユーザー
- アクセスの問題は規制で解決すべきだという反論もある
- 良い規制フレームワークはまれであり、技術は法律より速く動く
- 短期的には 技術そのもの のリスクを扱い、長期的には規制対応へとつなげる必要がある
企業利益の保護とオープンウェブの衝突
- 企業が利益を守ろうとする行為であっても、人々に害を及ぼすなら正当化は難しい
- インターネットとオープンウェブは、人々が使い方を決められるからこそ前向きな影響を持つ 生成的システム である
- この決定権が縮小した瞬間、システムはアプライアンス側へ移行する
- 企業が利益保護のために生成的システムをアプライアンスへ縮減するなら、それ自体が人々への害になる
- Google は生成的システムの上で成長した企業でありながら、今やその同じシステムを自社都合に合うアプライアンスへ変えようとしていると批判されている
W3C、リポジトリ、Mozilla の反応
- WEI 提案に対して W3C 行動規範違反の問題が提起されたが、担当グループは自分たちの管轄ではないと答えた
- その後、W3C ombudspeople に WEI 提案と参加者の振る舞いに関する懸念が伝えられた
- 懸念には、GitHub リポジトリの maintainers がコミュニティの issue を閉じている点が含まれていた
- 2023年7月22日、Google はリポジトリで issue 提起やコメントを含む貢献機能を閉じた
- Mozilla は WEIに反対 しており、この提案はWebに対する Mozilla の原則とビジョンに反すると述べている
- Chromium には WEI 関連 commit がすでに存在し、仕様が固まる前にさらに早く進むのではないかという懸念がある
Apple Private Access Tokens と PrivacyPass
- Apple は約1年前から、類似 API である Private Access Tokens を提供してきた
- Apple 開発者ブログの Private Access Tokens は、WEI とほぼ同じメカニズムを実装している
- ただし Apple の文書は、「トークン challenge を送るときにメインページの読み込みを止めず、トークンをサポートしないクライアントにもWebサイトへのアクセスを許可すること」と案内している
- Apple 文書のトーンは WEI の動機と対照的であり、Private Access Tokens は CAPTCHA のような、より妨げの大きい認証手段の代替として提示されている
- token issuer は、ユーザー端末上で動く不透明なプロセスではなく外部のWebサービスとして説明されており、CDN がオリジンサーバーへのリクエストを認証する仕組みとして読める
- プロトコルは IETF PrivacyPass Working Group で定義されている
- PrivacyPass protocol draft によると、クライアントが issuer に送るデータは、サーバー challenge を難読化したハッシュ形式にしたものにすぎない
- この場合、issuer の観点では個人データは漏れず、ブラウザやプラグイン環境の検査もないため、特定ブラウザが attestation を受けられないように阻止することは難しい
PrivacyPass の未完成部分と差別の可能性
- PrivacyPass を issuer プロトコルだけで分析すると不完全である
- 欠けているのは、クライアントと attester がどのように相互作用するかという部分である
- issuer は個人識別情報を知らないが、どの attester を使うかには影響を与えられる
- attester は具体的な動作が明示されていない未知の要素として残っている
- 仕様の多くの部分は可能な方式に言及するだけで、具体的手順は空白のままである
- クライアントが機微な属性を attester に送らない可能性はあるが、その場合に何が起きるかは扱われていない
- この開放性のため、WEI のようなモデルと同じ問題が実装され得る
- PrivacyPass architecture 文書も section 5.1 “Discriminatory Treatment” で差別的取り扱いの可能性を認めている
反トラスト、プライバシー、標準化への対応経路
- GitHub 上で Google に抗議するだけでは効果がないという Hacker News のコメントが共有された
- そのコメントは、米国、EU、英国、インド、カナダの反トラスト当局の連絡先を示している
- 反トラストは一つの経路にすぎず、PrivacyPass と Apple Private Access Tokens にも同様の問題がある
- EU では次の機関に懸念を提起できる
- European Data Protection Board: 差別的アクセスが GDPR Article 6 の個人データ処理の適法性と衝突する可能性がある
- European Data Protection Supervisor: 同様のプライバシー懸念を提起できる
- European Agency for Fundamental Rights: 不透明な慣行でユーザーを差別する技術が EU の基本権を侵害し得る
- PrivacyPass については IETF PrivacyPass working group のメーリングリストに参加して懸念を伝え、draft 採択段階で反対することができる
Google 内部プロセスに対する追加の懸念
- Google/Chrome/Blink の Alex Russell は、WEI を、Webのために良いことをしようとしていた人々が「できること」に流されて「すべきこと」を見失った事例として再構成しようとした
- その説明には、Google に「それをすべきか」を問うことを強制する階層構造が存在しないという趣旨が含まれていた
- 直ちに浮かぶ懸念は二つある
- Google がプロセスの面で「すべきか」を問わないこと
- 個々の Googler も Google のプロセスと無関係にその問いを発していないこと
- この二つが並ぶと、道徳的破綻の宣言に近いという批判につながる
- その時点では、Google の公式な反応はまだなかった
1件のコメント
Hacker Newsの意見
これは本気なのか?
ボットには2種類ある。まともなボットはサイト運営者におおむね前向きな交換条件を提供し、ユーザーエージェントで自分の正体を明かし、予測可能なIPレンジからリクエストし、robots.txtに従う。検索エンジンのクローラーの大半、WhatsAppのようなアプリのリンクプレビューボット、RSSリーダーがこれに当たる。
一方、悪性ボットは高価で価値ある情報を含むリソースを狙い、robots.txtに従わず、IPブロックを回避するために住宅用IPのボットネットを使い、正常なトラフィックに見えるようユーザーエージェントから変える。偽アカウントを作るために人を雇うことさえある。
だから筆者のやり方は循環論法だ。ユーザーエージェントでボットを識別したうえで、区別できるユーザーエージェントを持つボットがいるのだから、残りのトラフィックはボットではないと宣言しているに等しい。さらに、悪意を持ってスクレイピングする価値のあるデータがないサーバーログを見ているのも問題だ。『オーシャンズ11』が近所の店ではなくカジノを襲うように、プロのボット運営者は個人ブログではなく、防御されている場所から価値ある情報をスクレイピングする。
Googleで働いているが、広告、ブラウザ、広告詐欺検知とはまったく関係ない立場から言うと、Googleや広告主から金を抜き取って食っている攻撃者たちが、この筆者くらい無能だったらいいのにと願うほどだ。
他のWEIスレッドでも言ったが、ここでも改めて言う
邪悪な企業を罵ってみんなで腕を振り回すだけでなく、この提案の反競争的影響について、FTCやインドのCCIのような競争当局に実際に連絡した人がいるのか気になる
反トラスト当局の連絡先は次のとおり
米国: https://www.ftc.gov/enforcement/report-antitrust-violation / antitrust@ftc.gov
EU: https://competition-policy.ec.europa.eu/antitrust/contact_en / comp-greffe-antitrust@ec.europa.eu
英国: https://www.gov.uk/guidance/tell-the-cma-about-a-competition... / general.enquiries@cma.gov.uk
インド: https://www.cci.gov.in/antitrust/
CCIに苦情を入れる簡単な連絡方法は見つけられなかったが、手続きはこちらのようだ: https://www.cci.gov.in/filing/atd
カナダ: https://www.competitionbureau.gc.ca/eic/site/cb-bc.nsf/frm-e...
他の人がテンプレートとして使いたいなら、FTCに送った内容を共有できる
議会請願も作成し、審査と公開に必要な最低5人の支持者を集めた。公開されたらHNで共有する
今は請願リンクを削除したが、公開後にまた投稿する予定だ
私生活からGoogleを完全に排除しろ。Chrome禁止、言い訳禁止。くだらないことはやめるか、この業界を去るべきだ。検索はStartpageでもDuckDuckGoでも何でも使えばいい
Firefoxとその派生だけを対象に開発し、Chromeにはユーザビリティ上の問題を入れろ
Googleがやってきた戦術をそのまま使えばいい。配布するソフトウェアにFirefoxを同梱し、Googleのようにユーザーの端末から競合を排除しろ。npmモジュールやWebサイトをChromeで遅くし、非Chromeユーザーにはサービスがより安いと知らせろ。金は人を動かす
ユーザーにFirefoxのダウンロードを勧めるポップアップを表示し、リンクや説明ページを提供しろ。現在Chromeでセキュリティ・プライバシー上のリスクを検知しており、直ちに対処することを推奨すると言えば、普通のユーザーは簡単に怖がって動く
Googleを台無しにするためのあらゆる方法を考えろ。検索結果を台無しにし、リポジトリを/dev/randomで埋め、想像できることをやれ。みんな賢いと言ってきたのだから、それを見せればいい
Googleの資本はデータだ。そこを叩けば獣は死ぬ
Project NERAは、開かれたインターネットを閉じたエコシステムに変えるというGoogleの当初の計画だった。Googleの文書には、「オープンWeb全体で閉鎖庭園をうまく模倣し、マージンを守る」という動機が示されている
内部文書によると、この戦略によってGoogleはより高い仲介手数料を引き出せるようになり、ある社員はProject NERAの野心を「資産を『所有』せず、新しい消費者向け製品を作る苦労もせずに、資産を緻密に『運営』する利点を得ること」と表現した
そのための中核戦略は、人気ブラウザChromeを活用し、ユーザーがブラウザにログインした状態にとどまるようにして追跡することだった。GmailやYouTubeなどのGoogleサービスにログインするとブラウザにもログインさせ、ブラウザからログアウトするとサービスからもログアウトさせる方式だった
https://mspoweruser.com/project-nera-state-attorneys-general...
https://storage.courtlistener.com/recap/gov.uscourts.nysd.56...
Googleは昨年からこの方向性を強く示唆してきた。ただ昨年はテックバブルが弾ける前だったので、誰も信じたがらなかった。今ではGoogleが以前ほどすごく見えないので、より多くの人が代表者に連絡するかもしれない
こういう理由でGoogleを積極的に嫌っていて、YouTube以外のGoogle製品は避けている
2010年までさかのぼる。Chromeを開いて試してみたところ、Firefoxでは問題なくできていたYouTubeチャンネル背景の右クリックダウンロードオプションがなかった。なぜユーザーが右クリックして簡単にダウンロードするのをわざと妨げるのか。Webを自分たちが所有していると信じているからだ
Chromeは使ったこともないし、今後も使わない。Chromeを使うことは、将来Googleが十分に悪質なポリシーを実装して、ほとんど誰も制限を回避できないようにしたとき、結局は自分自身の未来をより悪くすることになる
Yoav Weiss のブログへのリンクがよかった
「Web プラットフォームの提案が気に入らないとき……自分の知見や経験が、プラットフォームが大きな過ちを犯さないよう助けるうえで価値があるかもしれない、と感じることがあるでしょう。いいですね!! Web プラットフォームの議論に参加することは、それがみんなのために、みんなによって作られるようにするために不可欠です……議論を呼ぶブラウザー提案で、善意に見える人たちが何十、何百ものコメントでチームの考えを変えようとするのは珍しくありません。私が Web プラットフォームに携わってきた何年もの間、それが効果を上げたのを見たことはありません。一度もです」という感じ
「みんなが議論に参加するのは本当に大好きです。そしてそれは私たちの決定に一度たりとも影響しません」のように聞こえる
第一に、フィードバックがまったく見当違いの宛先に行くことが多い。Google が Google らしいことをするのを、そういうやり方で止めることはできない
第二に、Web 標準の議論が行われる深さとレベルが、ほとんどの人を疎外している。そのため人々は「標準作り」に参加する代わりに別の場所へ向かう
Web は素晴らしいし、最初の 15 年間は Web の主体を運営することが実際に非常に単純だったからこそ素晴らしくなった。だが成功は次第に大企業と複雑な利害関係を呼び込み、今では Web をよりアクセスしやすくしようとする取り組みと同時に、Web Environment Integrity や DRM のようなものも一緒に見えている
大衆の監視を求める手続きは、大衆が自分たちに代わってフルタイムで監視する人を任命できないなら、結局は失敗する
だが大半の人にはその技術も時間もないので、自転車置き場の色をめぐる議論ばかりすることになる
特に WEI のように、Web コンテンツのためのボット対策・チート対策フレームワークとして意図された比較的無味乾燥な提案を取り上げて、「Google vs. the Open Web」のような釣り気味のタイトルで包むなら、難しい問題を毎日深く考えている人たちに好感を持たれるのは難しい
よい提案なのかは正直わからない。ただ、解決しようとしている問題は実際に存在するので、嘲笑的な文章を書く人たちよりも、善意で解こうとしている人たちにまずは善意に解釈する余地を与えたい
状況はこう展開しそうだ
WEI チェックは、技術に明るい人やハッカーなら簡単に回避できるほど単純に設計されるだろう。批判や反対は「ブラウザーをこの 50 個の設定で起動するだけです」のような言葉で鎮められる
一方で一般ユーザーには回避できないほど複雑で、広告を見るよう強制されるだろう
こうしてハッカーたちは「オープン」な Web へのアクセスを保ち、大多数の 99% は「Google」Web を歩き回るという Win-Win の構図になる
いっそ Google がすべてのものとすべての人を運営・所有し、私たちが収穫物の 50% を捧げなければならない段階へ、そのまま進んではだめなのか?
そのうち Web サイトが、チートがインストールされていないか確認するためにカーネルアクセス権を要求するようになるだろうね。もちろん皮肉だ
[0] ARM の用語ではカーネルモードは EL1、ハイパーバイザーモードは EL2、TrustZone モードは EL3。各例外レベルは、より高い権限レベルである
これはGoogleの弱さを示す明確なシグナルだ。独占を失いつつあり、必死にインターネットにしがみつこうとしている
ここ数週間で、広告ブロッカーがインストールされている場合はYouTube動画の視聴のようなブラウジングを妨げようとしている、と発表した
Fuchsiaもまた別の例だ。Androidへの支配力を失いつつあるため、新しいプロジェクトを始めたのだ
私の処方箋は、AdGuard Home、Braveブラウザ(スマホ・タブレット・デスクトップ)、Bromite(スマホ)、Firefox(デスクトップ)とuBlock Origin、デスクトップのFreeTubeだ。スマホでBraveだけを使っても、広告とトラッカーをすべて潰すには十分だ
オープンソース共同体には、Googleが考えるより賢くゲートを迂回する人が常にいる。数日前にKevin Mitnickが亡くなったのは悲しいが、また別のKevin Mitnickはいつでも現れるだろう
Googleは共同体からの尊敬をすべて失い、近いうちに崩壊するだろう
情報が不足しているとき、人は自分の物語に合う話を作り上げがちだが、それは本当に危険な習慣だ
Googleが独占を失いつつあるわけでもない。Brave BrowserはGoogleのChromium上で動いており、FirefoxはGoogleの資金で動いている。検索での優位もすぐには消えそうにない。世界中のほとんど全員がGoogleを検索エンジンとして使うのには理由があり、YouTubeで動画を見るのにも理由があり、電話ユーザーの70%がGoogleのOSを使うのにも理由がある。Gmailが個人メールで圧倒的な首位にいるのにも理由がある
広告ブロック利用者をYouTubeから締め出すのも、正当にできることだ。YouTubeを使う義務はなく、使うなら広告を見るかYouTube Premiumに支払って費用を負担すべきだ
HNがGoogleをどれだけ罵っても、Googleはインターネットを本当にインターネットらしくした数少ない企業の一つだ。人類全体への影響は、これまで明らかにかなり純プラスに近く、誰もGoogle製品を使う義務はない。Gmailの無料枠やAndroidの開放性のように、Googleが提供する製品で先頭に立っているのには理由がある
そのうえ、すでに別のところではFirefoxを使っている。ちなみにMozillaも情報を収集している
ここ数年、Googleがこの方向へ追い込まれていくのを見るのは悲しい
Googleは2000年代〜2010年代にオープンなWebを推し進めた主要な原動力の一つだった。検索のためのデータが必要で、すべてが開かれていればすべてにアクセスできたからだ
しかしFacebookのような新しいWeb 2.0企業がインターネットをサイロ化し始め、状況は変わり始めた。私がFacebookに反対してきた理由も、データマイニングのためではなく、企業がWebサイトの代わりにFacebookページを作り、ログインしなければデータにアクセスできないようにした変化の原因だったからだ
この矛盾を解くには、Google全体がオープンなWebに「賛成」または「反対」だとは言えない。悪名高い社内抗争のため、Googleのある部分はオープンなWebに賛成し、別の部分は反対し、ときにはどちらかが優位に立つ、と見るべきだ
悪魔の代弁者をするつもりはないが、パーソナルコンピューティングの歴史を見ると、これが通らなければむしろ驚くだろう
ロックされたスマートフォンが標準になり、Windowsが広告の運搬媒体になった流れを見ると、これはITの避けられない進化における次の段階のように見える
報道機関はまだ初期提案なのであまり関心がないのかもしれないが、その含意を考えると、Web上でHacker Newsの外ではほとんど語られていない点が印象的だ。YouTubeでこのテーマの動画を上げた人はRossmannくらいのようだ。Twitterで「web environment integrity api」を検索しても結果は数件しかなく、返信もほとんどない。Redditで中核となる文字列を探してみると、意味のある議論がある結果はWEIとは無関係だ
ソーシャルメディアが末期だからかもしれないが、昔のWebや一般的なコンピューティングのために戦いたい人は、あまり残っていないようだ