الحق في الكذب و “سلامة بيئة الويب” من Google

إذا كان جهاز الكمبيوتر الخاص بك لا يمكنه الكذب على أجهزة الكمبيوتر الأخرى ، فهو ليس ملكك.

هذا هو مبدأ أساسي للبرامج المجانية ومفتوحة المصدر. تلتزم شبكة الويب العالمية بهذا المبدأ ، على الرغم من أننا لا نفكر فيه كثيرًا بهذه الطريقة. الويب هو مجرد مجموعة متفق عليها من الواجهات البرمجية: إذا أرسلت لي هذا ، فسأرسل لك ذلك. يمكن لجهاز الكمبيوتر الخاص بك إنشاء “هذا” بأي وسيلة يريدها ؛ هذا ليس من شأن الجانب الآخر ، لأن جهاز الكمبيوتر الخاص بك ليس جهاز الكمبيوتر الخاص بهم.

ما يسمى بـ “تكامل بيئة الويب” من Google يخطط سيدمر هذا الاستقلال. كلمة “النزاهة” هي الكلمة الخاطئة تمامًا – سيكون الاسم الأفضل هو خطة “التحكم في بيئة المستعرض”.

في العالم الطبيعي ، تظهر في المتجر مع فاتورة بقيمة خمسة دولارات ، وتلتقط صحيفة ، ويبيع لك المتجر الصحيفة (وربما بعض التغيير) مقابل الفاتورة. في عالم Google المقترح ، لم تعد الأوراق النقدية من فئة الخمس دولارات قابلة للاستبدال بعد الآن: يمكن أن يسألك المتجر عن مصدر تلك الفاتورة ، وإذا لم يعجبهم الجواب ، فلن يبيعوا لك الصحيفة. لا ، ليسوا قلقين من كون الفاتورة مزورة أو مزيفة أو أي شيء من هذا القبيل. إنها فاتورة حقيقية بخمسة دولارات ، كما يتفقون ، لكن لا يمكنك إثبات أنك حصلت عليها من البنك الصحيح. لا تتردد في العودة مع النوع الصحيح خمسة دولارات.

هذه ليست شبكة الويب المفتوحة التي جعلت أفضل ما في الإنترنت متاحًا للعالم بأسره. على هذا الويب ، إذا أرسلت طلبًا صالحًا بالبيانات الصحيحة ، فستحصل على استجابة صحيحة. كيف أنتجت الطلب عملك وعملك وحده. هذا ما تعنيه حرية البرمجيات: أنت تقرر كيف تعمل أجهزتك ، تمامًا كما يقرر الأشخاص الآخرون كيفية عمل أجهزتهم. إذا كان جهازك وجهازهم يريدان التحدث مع بعضهما البعض ، فهما فقط بحاجة إلى لغة متفق عليها (في حالة الويب ، هي HTTP) للقيام بذلك.

على الرغم من ذلك ، فإن خطة Google تتقدم وراء هذه اللغة القياسية للمطالبة بشيء لا يمكن لأي برنامج مجاني ومفتوح المصدر تقديمه: ضمان سحري بأن المستخدم لم يقم بتكوين جهاز الكمبيوتر الخاص به بشكل خاص بأي طريقة لا توافق عليها Google.

الوقاحة صادمة لأولئك الذين لديهم خلفية تقنية كافية لفهم ما هو مقترح. يبدو الأمر كما لو أن Google كانت تطالب بأنه عندما تتحدث إليهم يجب أن تضمن بطريقة ما ، بطريقة يمكن إثباتها ، أنك لا تفكر أيضًا في أفكار غير نقية.

كيف يمكن لأي شخص أن يوافق على هذا الهراء؟ هل يجب أن تصبح جميع أجهزة الكمبيوتر لدينا كوريا الشمالية؟

تفاصيل تكوين النظام الخاص بك ليست ذات صلة – وغير ضرورية لتمثيلها بدقة – اتصالاتك مع الخادم ، تمامًا كما لا يلزم تضمين أفكارك الخاصة ، في بعض قنوات النطاق الجانبي ، إلى جانب كل ما تقوله بشكل منتظم لغة.

إذا أراد أحد مواقع الويب أن يطلب أن يكون لديك اسم مستخدم وكلمة مرور ، فلا بأس بذلك. هذه مجرد جزء قياسي من طلب HTTP الذي يرسله متصفحك. ولكن إذا أراد أحد مواقع الويب من متصفحك أن يعدك بأنه يخزن اسم المستخدم وكلمة المرور محليًا في ملف يسمى “google-lookingritz.txt” ، فهذا ليس غريبًا وزاحفًا فحسب ، بل إنه أيضًا شيء متصفح مجاني (كما هو الحال في libre) لا يمكن أبدا أن يشهد على نحو موثوق به. أي فريق صيانة للمتصفح يستحق كل هذا الجهد سوف يقوم فقط بشحن المتصفح بتكوين افتراضي حيث يبلغ البرنامج Google بذلك عندما يُطلب منه ذلك أثناء تخزين أسماء المستخدمين وكلمات المرور خلف الكواليس كما يحلو له.

في الواقع ، القضية الأساسية هنا هي الحرية يملك “وراء الكواليس” على الإطلاق. البيئات التي لا يُسمح فيها للناس بأن يكون لديهم “خلف الكواليس” هي بيئات شمولية. هذا ليس من قبيل المبالغة. إنه ببساطة تعريف المصطلح. مهما كانت الدلالات السيئة التي قد يحملها مفهوم الشمولية بالنسبة لك ، فهي لا تأتي من الكلمات متعددة المقاطع الرنانة بل من السوء الفعلي على المستوى البشري للسيناريو نفسه. هذا السيناريو هو ما تطلبه Google.

مستعرض الويب الخاص بي (حاليًا موزيلا فايرفوكس يعمل على دبيان جنو / لينكس، شكرًا جزيلاً لك) لن تتعاون أبدًا مع هذا الاقتراح الغريب والمضلل. وإلى جانب بقية مجتمع البرمجيات الحرة ، سأستمر في العمل لضمان أننا نعيش جميعًا في عالم لا يحتاج فيه متصفح الويب الخاص بك إلى ذلك أيضًا.

أنا عبر نشر ما ورد أعلاه في Fediverse، وسألني أحد أصدقائي كيف كان اقتراح Google مختلفًا عن CORS: “أنا متأكد من أنني لا أفهم اقتراح google ، لكن جميع المتصفحات تفرض CORS ، ولا تسمح لك بتحميل البيانات في العديد من السياقات. ” إنه مختلف تمامًا عن CORS وأنواع الحماية الأخرى المماثلة من جانب المتصفح ، لذلك أنا أجاب لشرح السبب:

لا يتعلق الأمر بالمتصفح بفرض شيء ما بشكل افتراضي بغرض القدرة على تقديم ضمانات أمنية لمستخدمه. بعد كل شيء ، إذا كنت ترغب في تعديل وإعادة تجميع المتصفح الخاص بك لعدم فرض سياسات نفس الأصل ، فيمكنك القيام بذلك. (ستكون فكرة سيئة بالطبع ، لكن هذه ليست قضية تتعلق بحرية البرمجيات 🙂).

بدلاً من ذلك ، يتعلق الأمر بقدرة المتصفح على تمرير رمز مميز آمن مشفر قائم على الأجهزة ، والذي يشهد ، إلى خدمة مركزية ، بأنك (مالك الكمبيوتر) لم تقم بإجراء تعديلات معينة على النظام التي من شأنها أن تكون غير مرئية وغير قابلة للاكتشاف بواسطة جهاز كمبيوتر آخر تتفاعل معه عبر الشبكة. يمكن للخدمة المركزية بعد ذلك تمرير هذه الشهادة إلى الأطراف المعتمدة. عندئذٍ ستستخدمه تلك الأطراف المعتمدة لجميع الأغراض المتوقعة. على سبيل المثال ، إذا كانوا يفكرون في إرسال دفق فيديو إليك ، فإنهم سيفعلون ذلك فقط إذا رأوا وعدًا من جهاز الكمبيوتر الخاص بك بأنه ليس لديه قدرة جانبية على حفظ دفق الفيديو إلى ملف (يمكنك من خلاله مشاهدته مرة أخرى لاحقًا دون علمهم). وهذا الوعد يمكن الاعتماد عليه! بموجب هذا الاقتراح ، لن يتمكن جهاز الكمبيوتر الخاص بك من قول ذلك إلا إذا كان صحيحًا.

بطبيعة الحال ، فإن الطريقة الوحيدة التي يمكن أن يعمل بها مثل هذا النظام بحكم التعريف هي عدم توفر حرية البرمجيات من جانب العميل. يتطلب الأمر علاقة تعاونية بين الشركة المصنعة للأجهزة ومورد البرنامج – النقاط المتقاطعة وما شابه – حيث يفقد جهاز الكمبيوتر الخاص بك القدرة المادية على تقديم الشهادة المطلوبة لطرف ثالث ما لم يكن جهاز الكمبيوتر الخاص بك في الواقع متعاونًا بشكل كامل.

عن طريق القياس: في الوقت الحالي ، يمكنك إخبار متصفحك بتغيير ملف User-Agent سلسلة لأي شيء تريده. قد تحصل على تأثيرات غريبة من القيام بذلك ، اعتمادًا على القيمة التي تحددها لها (ومن المؤسف أن مطوري الويب يسمحون للمواقع بالحساسية تجاه User-Agent، ولكن هذه قصة أخرى ، يجب إخبارها مع شكوى مماثلة حولها HTTP Referer – لكني استطرادا).

الآن تخيل عالمًا فيه ، إذا قمت بتغيير الخاص بك User-Agent سلسلة ، يبدأ متصفحك فجأة في إرسال رأس إضافي دائمًا: “User-Agent-String-Modified-By-User: True” – وكان لديك لا الاختيار حول هذا. لا يمكنك منع متصفحك من القيام بذلك ، لأن جهاز الكمبيوتر الخاص بك لن يسمح لك بذلك.

هل هذا يساعد في توضيح ما هي المشكلة؟