"Web Environment Integrity" is an all-out attack on the free Internet, it could be a disaster for the web

Hálózatok általános
  • 1175 megtekintés

( uid_16591 | 2023. 07. 30., v – 07:51 )

Szerkesztve: 2023. 07. 30., v – 07:52

Vannak néhány esetek pl. ez is, amikor kezdek hajlani arra az álláspontra, hogy hadd szóljon - semmi értékeset sem vesztek mert valósznűleg azok az oldalak ahol ezt bevezetik, egyébként is szenny kategória alá tartoznak. Persze félig viccelek, mert onnantól, hogy ha ezeket határos időn belül industry standarddá emelik vagy hájpolják, onnantól könnyen benyalják pl. a közintézmények is hogy igy kell megvalósitani valamit, és akkár már érinteni fog ha nem tudok IceWeasel/IceCat/stb alatt a NAV-val ügyintézni.

( bazso | 2023. 07. 30., v – 08:37 )

Azért veszélyes, mert kényelmes, és ezért nagyon hamar el tud terjedni.

A fejlesztő: miért fájna innentől a fejem a különböző böngészők hajszálnyi, de mégis különböző működése miatt

A marketinges: csak bekkantintom, hogy nem lehet reklám és script blokkoló

A security: végre nem jöhet senki mindenféle scraper szkriptekkel

A felhasználó: ezekkel a xar böngészőkkel semmi sem működik, bezzeg a Chrome

És akkor marad egy szűk réteg, akik nyílt weboldalakat készítenek nyílt böngészők számára, de minél marginálisabb a forgalom, annál kevésbé fogja megérni a befektetett munka és szépen elkopik. Főleg ha a Chrome ezeket az oldalakat külön megfesti hogy vigyázz, nem biztonságos

A specifikációt, ami inkább ötletelés vagy vázlat, és a issue trackinget olvasgatva, ez még elég kiforratlan. Talán nem is lesz belőle semmi. A Browser Acceptance Criteria szekció a specifikációban jelenleg todo. De erről amit írsz, pl. adblock-os kliens kizárás a tartalomhoz hozzáférésből, jelenleg is van sok portálon ahhoz nem kell ilyen api

Ezt az ötletelést már be is PoC-olták a Chromium kódjába. A hatalmi/döntési szerepben lévők számára túl vonzó eszköz, látszólag már most is sok munka van mögötte. 

Egy ölheti meg, a saját fejlesztője rájön hogy mit tett. Többször hangoztatja az alacsony entrópiás adatközlést a követhetőség korlátozására, de az kb a lényeget öli meg, így jó eséllyel ez lesz a vita alapja a fejlesztő és a megrendelő közt.

De igaz, még korai stádiumban van, cserében ha valamikor érdemes beleszólni az most van.

Ez nem specifikáció, hanem "explainer" jelentsen ez jelen esetben  bármit is. Igazából nem tudtam eldönteni, hogy ez az ötlet "eladására" (a célcsoportoknak, pl hirdetők, netflix stb) vagy publikum előtti "kimosdatására" készült-e.

Az mindenesetre biztos, hogy pont a lényegi részek maradtak benne balladai homályban (pl mi van az üzenetben, mi alapján tudja egy külső tanúsító eldönteni, hogy aláírja-e). Másrészt tele van önellentmodásokkal (nem interferál a pluginek működésével vs. garantálja a hirdetési bevételt), szakmai nonszensszel (az a low entropy rész egy aláírásnál). Harmadrészt olyan claimek vannak benne (végfelhasználót védeni szándékozik a phishing támadásoktól stb.) ami egyszerűen nem következik a leírt sémából, csak úgy képzelhető el, ha ezt kiegészítik még nagyon invazív további dolgokkal.

Régóta vágyok én, az androidok mezonkincsére már!

Na igen utóbbihoz elég lenne a TLS mellett valahogy a tartománynevet csekkolni, hogy benne van-e valami pénzügyi/kereskedelmi adatbázisban, vagy csak jóskapista hozott létre hasonló nevű oldalt, amit Lets'encrypttel aláíratott. Ezt valami jól látható elemmel jelölni, esetleg megrendelőlapot vagy fizetési felületet (vagy simán bármely formkitöltést) érzékelve egy figyelmeztető üzenetet pluszban feldobni.

Színes vászon, színes vászon, fúj!

Kérem a Fiátot..

Igen az egész pont a fordított irányú autentikációról szól. Az explainer szövege itt (is) nagyon keveri a szezont a fazonnal, mert a bankos példában a böngésző témáról hirtelen vált át a trustworthy app-ra, amit az ilyen safetynet drm-ek már eddig is lefedtek.

Ok, én sejtem, hogy kb mire gondolhat, van olyan fajta scam, hogy egy weboldallal próbálják imitálni a dedikált app kinézetét. De a scammerek által üzemeltetett hamis weblap nem fog attestationt kérni, a kicsalt belépési adatokat pedig a támadó egy tökéletesen gyári, attestált eszközre beírva simán be fog lépni. Az egész azellennemvéd.

Hacsaknem... és itt jön a potenciális shady része a dolognak: ha felhasználót mégiscsak egyedileg párosítják az eszköz egyedi azonosítójával (amit az explainer szerint "cserkészbecsszó" nem akarnak) akkor a web bank pl megtagadhatja a belépést, ha nem a "szokásos eszközről" próbálsz belépni (á la gmail). Nem tudom ez volt-e az elképzelt use case, vagy egyszerűen csak bullshitnek írták bele ezt a példát.

Régóta vágyok én, az androidok mezonkincsére már!

( Nyosigomboc v | 2023. 07. 30., v – 10:57 )

A technikai reszenek utananezett mar valaki?

Az erdekelne, hogy a gugli (a vilag legnagyobb webscrapere) hogy akar ezentul mukodni, illetve hogy mi akadalyoz meg benne, hogy egy engedelyezett bongeszo mindenfele azonositojat hasznaljam? Utobbit ugye vissza tudom fejteni, mert a gepemen van.

A strange game. The only winning move is not to play. How about a nice game of chess?

( dragi v | 2023. 07. 30., v – 13:52 )

És egy magyar is van az explainerek közt. Legyünk büszkék :)

( dcsaba v | 2023. 07. 30., v – 20:16 )

Nagyon helyes R1 nem fog hibázni, akinek kell alternatív web a mai nap is elérhető, illetve majd kiforrja magát valami freeweb később. Borítékolható volt egy hasonló szabályozás mióta az internet nem a kockák kiváltsága, hanem tömegek használják.

Fegyvereket drogot csakis a tor hálózaton szabad rendelni.