22.08.2023 09:20
BraveSoftware 20 1900 Источник

Мы в Brave выступаем категорически против нового предложения от Google под названием Web Environment Integrity (WEI). Как это уже достаточно давно происходит с предложениями и нововведениями гугла в отношении Сети, WEI заберёт возможности у пользователей и передаст их большим сайтам — включая собственные сайты гугла. Несмотря на то, что Brave построен на основе Chromium, наш браузер не включает и не будет включать в себя WEI: мы удаляем или отключаем технологии Chromium, которые могут навредить конфиденциальности пользователей (вы можете ознакомиться с текущим списком таких изменений здесь).

Более того, некоторые браузеры уже внедрили технологии, схожие с WEI, хоть и не столь масштабные (например, таковы части WebAuthn и Privacy Keys), и в настоящий момент мы рассматриваем различные возможности ограничения подобных технологий так, чтобы оно не повлияло на безопасные кейсы их применения.

Предложение WEI от Google расстраивает, но не удивляет нас. Это всего лишь очередной шаг большого брата на его пути ограничения возможностей пользователей управлять тем, как они используют Сеть, что они в ней читают и как взаимодействуют с сетевым контентом. Так, WebBundles усложняет для пользователей процесс блокировки и фильтрации нежелательного контента, First Party Sets усложняет процесс принятия решений о том, какие сайты могут трекать пользователей, а война гугла с браузерными расширениями прямо отбирает у пользователей возможности контроля над своим использованием Сети, так как парализует работу таких отличных расширений для блокировки рекламы и трекеров, как uBlock Origin (отметим, что браузер Brave для десктопов поддерживает некоторые популярные и ориентированные на благо пользователей расширения Manifest v2). К сожалению, даже это далеко не полный список прегрешений гугла против принципа главенствующей роли пользователей в Сети. Мы в Brave, естественно, отключаем или изменяем подобные технологии в нашем браузере.

Сеть — это самая популярная и поэтому самая важная открытая система, предоставляющая информацию и приложения. Именно поэтому чрезвычайно важно, чтобы пользователи сохраняли контроль над тем, как они взаимодействуют с Сетью, а Сеть не должна превратиться в набор чёрных ящиков, которые пользователи не могут ни проверить, ни изменить, ни понять, и которые работают по принципу «бери что дают или уходи»‎.

Предложение WEI от Google, как и многие другие его идеи, целенаправленно забирают механизмы контроля у пользователей и передают их большим платформам и рекламодателям. WEI — это очередный шаг на отвратительном пути, куда гугл уже давно сталкивает Сеть. Мы же убеждены в том, что пользователи заслуживают браузеры, которые не относятся к ним как к врагам, которых надо ограничивать и контролировать.

Комментарии (20)


  1. igrishaev
    22.08.2023 09:46
    #25884866
    +13

    Кроме "мы против", неплохо бы добавить объяснение, что такое Web Environment Integrity и чем он опасен с примерами. Я, конечно, могу сходить в Википедию, но заметка получилась ущербная.


    1. domix32
      22.08.2023 09:46
      #25884932
      +5

      - Allow web servers to evaluate the authenticity of the device and honest representation of the software stack and the traffic from the device.

      - Offer an adversarially robust and long-term sustainable anti-abuse solution.

      - Don't enable new cross-site user tracking capabilities through attestation.

      - Continue to allow web browsers to browse the Web without attestation.

      Выглядит как куки 2.0 с криптографией и антиспамом.

      Example use cases

      - Detect social media manipulation and fake engagement.

      - Detect non-human traffic in advertising to improve user experience and access to web content

      - Detect phishing campaigns (e.g. webviews in malicious apps)

      - Detect bulk hijacking attempts and bulk account creation.

      - Detect large scale cheating in web based games with fake clients

      - Detect compromised devices where user data would be at risk

      - Detect account takeover attempts by identifying password guessing

      "Вы отдаёте ключи нам от квартиры, а мы обещаем вам, что вас не ограбят. Камера в ванной это тоже такая фишка."


      1. BraveSoftware Автор
        22.08.2023 09:46
        #25885200
        +2

        реальный аналогичный пример, который уже в строю - это коллаборация Cloudlfare и эппла, Private Access Tokens https://blog.cloudflare.com/eliminating-captchas-on-iphones-and-macs-using-new-standard/
        или из простых примеров - SafetyNet и т.п. в андроиде


    1. BraveSoftware Автор
      22.08.2023 09:46
      #25885246

      Да, как-то так. Заметка - это перевод, кажется что оригинальную статью нужно было очень быстро выпустить как позицию компании, т.к. в англоязычной сети обсуждение WEI было горадо более бурным, чем в рунете


  1. apevzner
    22.08.2023 09:46
    #25885032

    Я правильно понимаю, что суть WEI заключается в том, что некие сторонние организации могут "аттестовать" пользовательский бровсер и выдать электронный "аттестат" подтверждающий факт успешной "аттестации" по неким абстрактным критериям, а сайты, руководствуясь своими собственными идеями, могут проверять наличие этих аттестатов и, в зависимости от их наличия, вести себя по-разному (например, отказываться работать с неаттестованными клиентами)?

    Выглядит, как попытка отжать рынок бровсеров в пользу полутра примерно крупных игроков...


    1. qw1
      22.08.2023 09:46
      #25885078

      попытка отжать рынок бровсеров

      По идее, нет. Потому то API аттестации общедоступно. Пишите свой браузер и обращайтесь к ОС за аттестацией. Это скорее заход к глобальной слежке и "интернету по паспорту", но изнутри со стороны устройства, с доступом корпораций, а не правительств, которые свой заход делают снаружи, через провайдеров.


      1. apevzner
        22.08.2023 09:46
        #25885110

        API-то общедоступно, но критерии аттестации, как я понимаю, могут быть любыми? Например, "10 лет на рынке бровсеров".


        1. BraveSoftware Автор
          22.08.2023 09:46
          #25885218

          критерии аттестации, действительно, любые :) Вряд ли там будет именно "10 лет на рынке", но сама заявка, конечно, потрясающая.


          1. apevzner
            22.08.2023 09:46
            #25885254
            +1

            А я думаю, там примерно это и будет. Нерутованный андроид + бровсер из списка утвержденных, чтобы заходить на сайт банка дальше рекламы. И список, что-то мне подсказывает, будет очень коротким...

            P.S. А Вы работаете в Brave, находясь в России или релоцировались?


        1. qw1
          22.08.2023 09:46
          #25885490

          API-то общедоступно, но критерии аттестации, как я понимаю, могут быть любыми? Например, "10 лет на рынке бровсеров"

          Аттестуется не браузер, а устройство (а поскольку оно личное, то и пользователь, владеющий им).


          1. BraveSoftware Автор
            22.08.2023 09:46
            #25885666

            Я бы сказал, устройство + учётка пользователя. Но опять же, исходя из описаний, аттестация - это чёрный ящик


            1. qw1
              22.08.2023 09:46
              #25885716

              Ну, мой посыл в том, что WEI никак не ущемляет браузеры, согласившихся в этом участвовать.


  1. ifap
    22.08.2023 09:46
    #25885292
    +3

    Мы же убеждены в том, что пользователи заслуживают браузеры, которые не относятся к ним как к врагам, которых надо ограничивать и контролировать.

    Это странное, неверное и ненужное передергивание, т.к. правда куда отвратительнее: браузеры Гугл и Ко относится к пользователям как стаду овец баранов для стрижки с них шерсти бабла и манипуляции их поведением, причем не только потребительским. Именно на это и стоит указывать, не придумывая Бабу Ягу там, где ее нет, а есть целый Кощей ;)


    1. BraveSoftware Автор
      22.08.2023 09:46
      #25886070
      +1

      Я передал ваше мнение автору статьи :)


  1. shaggyone
    22.08.2023 09:46
    #25887628

    Расширения в мобильной версии планируете?


    1. BraveSoftware Автор
      22.08.2023 09:46
      #25888292

      Последний подход к снаряду закончился осознанием того, что поддерживать это будет неподъёмно дорого для команды разработки. Пока что без изменений в этом вопросе.


      1. shaggyone
        22.08.2023 09:46
        #25892320

        Есть вариант сделать нативную поддержку правил ublock'а.


        1. BraveSoftware Автор
          22.08.2023 09:46
          #25892652

          Так это одна из наших основных фич с первых дней существования браузера


          1. shaggyone
            22.08.2023 09:46
            #25892874
            +1

            Я сейчас в мобильном браузере зашёл на вконтактик, как мне добавить правило, чтобы скрыть богомезкие "сторис"?


            1. BraveSoftware Автор
              22.08.2023 09:46
              #25893232
              +2

              brave://adblock

              можно по урлу добавить кастомный список правил, или правило вбить вручную в самом низу