WEI؟ أنا عقدة مهترئة
قطعتان من الخيط يسيران في قضيب.
أول قطعة من الخيط تطلب مشروبًا.
يقول النادل ، “اذهبي. نحن لا نقدم قطعًا من الخيوط “.
الخيط الثاني يربط عقدة في وسطه ويفسد نهاياته. ثم يأمر بشرب.
يقول النادل ، “مرحبًا ، أنت لست قطعة خيط ، أليس كذلك؟”
قطعة الخيط تقول ، “ليس أنا! أنا عقدة مهترئة “.
تضيف Google رمزًا إلى Chrome من شأنه إرسال معلومات غير قابلة للتلاعب حول نظام التشغيل والبرامج الأخرى لديك ومشاركتها مع مواقع الويب. تقول Google إن هذا سيقلل من الاحتيال الإعلاني. من الناحية العملية ، فإنه يقلل من سيطرتك على جهاز الكمبيوتر الخاص بك ، ومن المحتمل أن يعني أن بعض مواقع الويب ستحظر الوصول إلى أي شخص لا يستخدم نظام تشغيل ومتصفح “معتمدين”. كما أنه يزيد من حاجز دخول المتصفحات الجديدة ، وهو أمر أقر به موظفو Google في شرح غير رسمي للميزة الجديدة ، سلامة بيئة الويب (WEI).
إذا كنت تحك رأسك في هذه المرحلة ، فنحن لا نلومك. هذا هو مجرد فكرة مجردة! سنقوم بتفريغها قليلاً أدناه – وبعد ذلك سنشرح سبب وجود ملف فكرة سيئة أن جوجل لا ينبغي أن تتبع.
لكن اولا…
بعض الخلفية
عندما يتصل متصفح الويب الخاص بك بخادم ويب ، فإنه يرسل تلقائيًا وصفًا لجهازك ومتصفحك ، مثل ، “هذه الجلسة قادمة من Google Pixel 4 ، باستخدام إصدار Chrome 116.0.5845.61.” يمكن للخادم الموجود على الطرف الآخر من هذا الاتصال أن يطلب معلومات أكثر تفصيلاً ، مثل قائمة الخطوط المثبتة على جهازك ، وحجم شاشته ، والمزيد.
هذا يمكن أن يكون جيدا. يمكن لخادم الويب الذي يتلقى هذه المعلومات تخصيص عروضه لك. يمكن لهذا الخادم التأكد من أنه يرسل لك فقط تنسيقات الملفات التي يفهمها جهازك ، بدقة تتناسب مع شاشتك ، ويتم وضعها بطريقة تناسبك بشكل جيد.
ولكن هناك أيضًا سلبيات لذلك. تستخدم العديد من المواقع “بصمات المتصفح“- نوع من التتبع يعتمد على مجموعة الخصائص الفريدة للمتصفح الخاص بك – لتحديد المستخدمين الذين يرفضون ملفات تعريف الارتباط وغيرها من أشكال المراقبة بشكل غير منطقي. تقدم بعض المواقع استنتاجات عنك من متصفحك وجهازك من أجل تحديد ما إذا كان بإمكانهم فرض رسوم عليك أكثر أو خدمتك العروض السيئة أو المخادعة.
لحسن الحظ ، فإن المعلومات التي يرسلها متصفحك إلى مواقع الويب عن نفسه وجهازك هي معلومات تطوعية تمامًا. متصفحك يستطيع إرسال معلومات دقيقة عنك ، لكن لا داعي لذلك. هناك الكثير من المكونات الإضافية وأدوات الخصوصية والتفضيلات الباطنية التي يمكنك استخدامها لإرسال معلومات من اختيارك إلى المواقع التي لا تثق بها.
لا تسمح لك هذه الأدوات برفض وصف جهاز الكمبيوتر الخاص بك إلى خوادم فضوليّة عبر الإنترنت. بعد كل شيء ، قد ترفض الخدمة التي لا تهتم بك كثيرًا لدرجة أنها ستستخدم بيانات التكوين الخاصة بك لإلحاق الأذى بك على الإطلاق ، كوسيلة لإجبارك على التخلي عن تفاصيل جهازك وبرامجك .
بدلاً من ذلك ، ترسل أدوات الخصوصية ومكافحة التتبع معقول خطأ معلومات عن جهازك. بهذه الطريقة ، لا يمكن للخدمات أن تميز ضدك لاختيار نزاهتك الخاصة على نماذج أعمالها.
هذا هو المكان التصديق عن بعد ادخل.
تأمين الحوسبة والتصديق عن بعد
تشحن معظم أجهزة الكمبيوتر والأجهزة اللوحية والهواتف الحديثة من المصنع بنوع من القدرة على “الحوسبة الآمنة”.
تم تصميم الحوسبة الآمنة لتكون نظامًا لمراقبة جهاز الكمبيوتر الخاص بك لا يمكنك تعديله أو إعادة تكوينه. في الأصل ، اعتمدت الحوسبة الآمنة على معالج ثانٍ – “وحدة الحماية الفنية” أو TPM – لمراقبة أجزاء الكمبيوتر التي تتفاعل معها مباشرةً. في هذه الأيام ، تستخدم العديد من الأجهزة “منطقة آمنة” – وهو نظام فرعي مقوى مصمم بعناية لضمان أنه لا يمكن تغييره إلا بإذن من الشركة المصنعة ..
أنظمة الأمان هذه لها استخدامات كثيرة. عند بدء تشغيل جهازك ، يمكنهم مشاهدة عملية التمهيد والتحقق من كل مرحلة من مراحلها للتأكد من أنك تقوم بتشغيل كود الشركة المصنعة دون تغيير ، وليس إصدارًا تم تسميمه بواسطة البرامج الضارة. هذا رائع إذا كنت يريد لتشغيل رمز الشركة المصنعة ، ولكن يمكن استخدام نفس العملية لمنعك من عمدا تشغيل كود مختلف ، على سبيل المثال ، نظام تشغيل مجاني / مفتوح المصدر ، أو إصدار من برنامج الشركة المصنعة تم تعديله لتعطيل الميزات غير المرغوب فيها (مثل المراقبة) و / أو تمكين الميزات المرغوبة (مثل القدرة على تثبيت البرامج من خارج الشركة المصنعة متجر التطبيقات).
بالإضافة إلى التحكم في الكود الذي يتم تشغيله على جهازك ، يمكن لأنظمة الأمان هذه أيضًا توفير معلومات حول أجهزتك وبرامجك لأشخاص آخرين عبر الإنترنت. يتم شحن الجيوب الآمنة وأجهزة TPM مع “مفاتيح توقيع” مشفرة. يمكنهم جمع معلومات حول جهاز الكمبيوتر الخاص بك – إصدار نظام التشغيل الخاص به ، والإضافات ، والبرامج ، والرمز منخفض المستوى مثل برامج تحميل التشغيل – وتوقيع جميع هذه المعلومات بشكل مشفر في “تصديق. “
هذه الشهادات تغير ميزان القوى عندما يتعلق الأمر بالاتصالات الشبكية. عندما يريد خادم بعيد معرفة نوع الجهاز الذي تقوم بتشغيله وكيفية تكوينه ، لم يعد على هذا الخادم أن يأخذ كلمتك. يمكن أن تتطلب تصديق.
بافتراض أنك لم تتوصل إلى معرفة كيفية تجاوز الأمان المضمّن في الجيب الآمن لجهازك أو TPM ، فإن هذه الشهادة هي مؤشر موثوق للغاية لكيفية إعداد جهازك.
علاوة على ذلك ، يعد تعديل TPM أو الجيب الآمن الخاص بجهازك عملاً مشحونًا قانونيًا. قوانين مثل القسم 1201 من قانون حقوق المؤلف للألفية الرقمية بالإضافة إلى براءات الاختراع وحقوق التأليف والنشر ، تشكل مخاطر مدنية وجنائية خطيرة على التقنيين الذين يحققون في هذه التقنيات. يزداد هذا الخطر سوءًا بشكل كبير عندما ينشر التقني نتائج حول كيفية تعطيل هذه الميزات الآمنة أو تجاوزها. وإذا تجرأ أحد التقنيين على توزيع أدوات لإحداث هذا الالتفاف ، فعليه أن يحسب حسابًا لمخاطر قانونية جنائية ومدنية جسيمة ، بما في ذلك أحكام السجن لعدة سنوات.
WEI؟ مستحيل!
هذا هو المكان الذي يأتي فيه اقتراح Google. WEI هو اقتراح تقني للسماح للخوادم بطلب شهادات عن بُعد من الأجهزة ، مع نقل هذه الطلبات إلى الجيب الآمن للجهاز أو TPM ، والتي ستستجيب مع وصف موقّع بشكل مشفر وموثوق للغاية لجهازك . يمكنك اختيار عدم إرسال هذا إلى الخادم البعيد ، لكنك تفقد القدرة على إرسال ملف تغيير أو عشوائي وصف جهازك وبرامجه إذا كنت تعتقد أن هذا هو الأفضل لك.
في اقتراحهم ، يدعي مهندسو Google العديد من الفوائد لمثل هذا المخطط. ولكن على الرغم من محاولاتهم الشجاعة لجلب هذه الفوائد إلى مالكي الأجهزة ، فقد تم تصميمها حقًا لإفادة أصحاب الخدمات التجارية ؛ تأتي الفائدة التي تعود على المستخدمين من افتراض أن المشغلين التجاريين سيستخدمون الأرباح الإضافية من التصديق عن بُعد لجعل خدماتهم أفضل لمستخدميهم.
على سبيل المثال ، يقول المؤلفون إن الشهادات عن بُعد ستسمح لمشغلي المواقع بالتمييز بين مستخدمي الإنترنت الحقيقيين الذين يشغلون متصفحًا يدويًا ، والروبوتات التي تعمل تلقائيًا في طريقها عبر الخدمة. يُقال أن هذه طريقة لتقليل الاحتيال في الإعلانات ، مما سيزيد من عائدات الناشرين ، الذين قد يستثمرون هذه الأرباح الإضافية في إنتاج محتوى أفضل.
يزعمون أيضًا أن التصديق يمكن أن يحبط هجمات “الجهاز في الوسط” ، حيث يتم تقديم موقع ويب مزيف للمستخدم يُدخل فيه معلومات تسجيل الدخول الخاصة به ، بما في ذلك كلمات المرور لمرة واحدة التي تم إنشاؤها بواسطة مصادقة ثنائية (2FA) النظام ، الذي يدخله المهاجم تلقائيًا في حقيقي شاشة تسجيل الدخول للخدمة.
يزعمون أن بإمكان اللاعبين استخدام الشهادات عن بُعد للتأكد من أن اللاعبين الآخرين الذين يلعبون ضدهم يديرون نسخًا غير معدلة من اللعبة ، ولا يقومون بعمليات غش تمنحهم ميزة على منافسيهم.
يزعمون أن منح مشغلي مواقع الويب القدرة على اكتشاف أدوات التشغيل الآلي للمتصفح وحظرها سيسمح لهم بمنع الاحتيال ، مثل نشر مراجعات مزيفة أو إنشاء حسابات بوت جماعية.
يمكن القول أن هناك بعض الحقيقة في كل هذه الادعاءات. هذا ليس بالأمر غير المعتاد: في المسائل الأمنية ، غالبًا ما تكون هناك طرق يمكن من خلالها الغزو العشوائي للخصوصية والتنازلات عن الاستقلالية الفردية أن تزيل بعض المشكلات الحقيقية.
من المؤكد أن وضع الأصفاد على كل متسوق يدخل متجرًا سيقلل من سرقة المتاجر ، وقد تخفض المتاجر التي تقل فيها معدلات السرقة من أسعارها ، مما يعود بالفائدة على جميع عملائها. لكن في النهاية ، سرقة المتاجر هي المتجر ليس مشكلة المتسوقين ، وليس من العدل أن يتحمل المتجر أي شخص آخر تكلفة حل صعوباته.
يساعد WEI مواقع الويب على حظر المتصفحات غير المفضلة
واحد قسم من مستند Google يقر بأن مواقع الويب ستستخدم WEI لإغلاق المتصفحات وأنظمة التشغيل التي لا تحبها ، أو التي تفشل في تنفيذ WEI بما يرضي موقع الويب. تقترح Google مبدئيًا (“نحن نقيِّم”) حلًا بديلًا: حتى بعد أن ينفذ Chrome التكنولوجيا الجديدة ، فإنه سيرفض إرسال معلومات WEI من “نسبة صغيرة” من أجهزة الكمبيوتر التي كانت سترسلها بخلاف ذلك. من الناحية النظرية ، فإن أي موقع ويب يرفض الزيارات الواردة من متصفحات غير WEI سينتهي به الأمر أيضًا إلى حظر هذه “النسبة الصغيرة” من مستخدمي Chrome ، الذين قد يشتكون بشدة من أن الموقع سيتعين عليه التراجع عن قرارهم والسماح للجميع ، سواء كانوا من مستخدمي WEI أم لا .
المشكلة هي أن هناك الكثير من المواقع التي من شأنها أن تفعل ذلك حقا حقا مثل القدرة على إملاء المتصفح ونظام التشغيل الذي يمكن للأشخاص استخدامه. يفكر “يعمل موقع الويب هذا بشكل أفضل مع Internet Explorer 6.0 على نظام التشغيل Windows XP. ” ستعتبر العديد من مواقع الويب أن “النسبة الصغيرة” من المستخدمين سعرًا مقبولاً يجب دفعه ، أو ببساطة توجه المستخدمين إلى إعادة تعيين بيانات المستعرض الخاص بهم حتى تمكن لفة النرد WEI لهذا الموقع.
أيضًا ، لدى Google تضارب في المصالح في اختيار “النسبة المئوية الصغيرة”. من شأن تعيينه على نطاق صغير جدًا أن يفيد قسم الاحتيال في الإعلانات في Google من خلال مصادقة المزيد من نقرات الإعلانات ، مما يسمح لـ Google ببيع هذه الإعلانات بسعر أعلى. يجعل تعيينه على مستوى عالٍ من الصعب على مواقع الويب تنفيذ السلوك الإقصائي ، ولكنه لا يفيد Google بشكل مباشر على الإطلاق. إنه يجعل من السهل فقط إنشاء متصفحات منافسة. لذلك ، حتى إذا اختارت Google تنفيذ هذا الحل البديل ، فإن حوافزهم هي تهيئته على أنه صغير جدًا لحماية الويب المفتوح.
أنت رئيس جهاز الكمبيوتر الخاص بك
جهاز الكمبيوتر الخاص بك ينتمي إلى أنت. أنت رئيسه. يجب أن تفعل ما تقوله لها.
نحن نعيش في بعنف عالم غير كامل. القوانين التي تمنعك من الهندسة العكسية وإعادة تكوين جهاز الكمبيوتر الخاص بك سيئة بما فيه الكفاية ، ولكن عندما تجمع ذلك مع إنترنت احتكار “خمسة مواقع ويب عملاقة مليئة بلقطات شاشة لنص من الأربعة الأخرى، “يمكن أن تصبح الأمور سيئة حقًا.
أنشأت حفنة من الشركات نقاط الاختناق بين المشترين والبائعين وفناني الأداء والجماهير والعمال وأصحاب العمل ، وكذلك العائلات والمجتمعات. عندما ترفض هذه الشركات التعامل معك ، تتوقف حياتك الرقمية.
الويب هو آخر منصة رئيسية مفتوحة متبقية على الإنترنت – النظام الأساسي الأخير حيث يمكن لأي شخص إنشاء متصفح أو موقع ويب والمشاركة ، دون الحاجة إلى طلب إذن أو تلبية مواصفات شخص آخر.
أنت رئيس جهاز الكمبيوتر الخاص بك. إذا أنشأ موقع ويب نقطة تفتيش افتراضية تقول ، “التكنولوجيا المعتمدة فقط بعد هذه النقطة” ، يجب أن يكون لديك الحق في إخبارها ، “أنا لست قطعة من الخيط ، أنا عقدة متوترة.” بمعنى ، يجب أن تكون قادرًا على إخبار الموقع بما يريد سماعه ، حتى لو كان الموقع يرفض خدمتك إذا كان يعرف الحقيقة عنك.
يُحسب لمقدمي اقتراح WEI أن ثا ر يرغبون في استخدام WEI للأغراض الحميدة فقط. إنهم يشجبون صراحة استخدام WEI لحظر المتصفحات ، أو لاستبعاد المستخدمين لرغبتهم في الحفاظ على خصوصية معلوماتهم الخاصة.
لكن علماء الكمبيوتر لا يقررون كيفية استخدام التكنولوجيا. تنطوي إضافة شهادة على الويب على مخاطر متوقعة تمامًا للشركات سوف استخدامه لمهاجمة حق المستخدمين في تكوين أجهزتهم لتناسب احتياجاتهم ، حتى عندما يتعارض ذلك مع الأولويات التجارية لشركات التكنولوجيا.
لا ينبغي عمل WEI. إذا تم تصنيعه ، فلا ينبغي استخدامه.
وماذا في ذلك؟
إذن ما الذي يجب أن نفعله بشأن WEI وتقنيات المصادقة عن بُعد الأخرى؟
لنبدأ بما نحن لا ينبغي يفعل. لا يجب أن نحظر التصديق عن بعد. الكود هو الكلام ويجب أن يكون لكل فرد الحرية في دراسة وفهم وإنتاج أدوات التصديق عن بعد.
قد يكون لهذه الأدوات مكان داخل الأنظمة الموزعة – على سبيل المثال ، قد يستخدم بائعو آلات التصويت التصديق عن بُعد للتحقق من تكوين أجهزتهم في الميدان. أو قد يرسل العاملون في مجال حقوق الإنسان المعرضون للخطر شهادات عن بُعد إلى خبراء تقنيين موثوق بهم للمساعدة في تحديد ما إذا كانت أجهزتهم قد تعرضت للاختراق بواسطة برامج ضارة ترعاها الدولة.
لكن لا ينبغي إضافة هذه الأدوات إلى الويب. الشهادات عن بعد ليس لها مكان على المنصات المفتوحة. أنت رئيس جهاز الكمبيوتر الخاص بك ، ويجب أن يكون لك القول الفصل فيما يخبر الآخرين به عن جهاز الكمبيوتر الخاص بك وبرامجه.
مشاكل الشركات ليست بنفس أهمية استقلالية مستخدميها
نتعاطف مع الشركات التي قد تتأثر إيراداتها بالاحتيال في الإعلانات ، وشركات الألعاب التي تعاني من الغشاشين ، والخدمات التي تعاني من برامج الروبوت. لكن معالجة هذه المشاكل لا يمكن أن تأتي قبل حق مستخدمي التكنولوجيا في اختيار كيفية عمل أجهزة الكمبيوتر الخاصة بهم ، أو ما تخبرهم تلك الحواسيب الآخرين عنها ، لأن الحق في التحكم في أجهزته هو لبنة أساسية لجميع الحقوق المدنية في العالم الرقمي. ..
توفر شبكة الويب المفتوحة فائدة أكبر من الضرر. إن السماح للشركات الاحتكارية العملاقة بإلغاء اختياراتنا بشأن التكنولوجيا التي نريد استخدامها ، وكيف نريد استخدامها ، هو وصفة لحل تلك الخيارات. شركات’ ، ولكن ليس مشاكل مستخدميها.