Mit "Web Environment Integrity" möchte Google viele Probleme des Internets lösen. Blöd nur, dass das wohl nix wird.
„Don’t be evil“ als Firmenmotto hat Google ja schon vor einer Weile verloren. Jetzt möchten sie allerdings das attackieren, das sie groß gemacht hat: Ein offenes Internet, an dem alle teilhaben können. Ein (wütender) Kommentar.
Google muss dem Browser ja vertrauen können
Web Environment Integrity nennt Google sein neuestes Süppchen, mit dem sie ihr Monopol im Internet manifestieren wollen. Dabei attestiert eine „vertrauenswürdige Stelle“ (jetzt raten wir mal, wer so eine „vertrauenswürdige“ Instanz ist) dem Browser: Der macht das, was wir von ihm wollen. Helfen soll das gegen:
- Social Media Manipulation
- Gefälschte Interaktionen
- Phishing
- Botting
- Kompromittierte Accounts
- Passwort Bruteforcing
Der geneigte Webentwickler wird schon merken: am Ende gingen auch den vier Google Entwicklern die Ideen aus. Fehlt ja nur noch, dass es auch gegen Artensterben und Klimawandel hilft.
Wie es funktioniert
Ihr besucht eine Website und die Website möchte, dass ihr belegt, wer ihr seid. Ihr schickt also euren Attest-Code und die Seite validiert ihn gegenüber der ausstellenden Instanz und agiert dann je nachdem welche Antwort kam entsprechend. Im dümmsten Falle kommt man halt nicht rein, weil man dem Türsteher nicht gefällt.
Das Internet liebt die Idee
Die Issues und Pull-Requests des Repos zeigen klar: Die Leute lieben die Idee.
Auch Poes Gesetz könnte mal wieder zum Tragen kommen, wenn Google sich entschließt, offensichtlichen Sarkasmus nicht zu verstehen.
Wo wir gerade dabei sind. Habt ihr schon einen kleinen Obolus an die Tarnkappe gespendet? Der Lars zahlt die Server ja auch nicht mit Liebe und guten Wünschen.
Wer sich ein eigenes Bild vom Chaos machen möchte, das um den Vorschlag von Google gerade tobt, der kann sich das Repo RupertBenWiser/Web-Environment-Integrity mal ansehen.
Funktioniert es denn überhaupt?
Regel Nummer -1 der IT-Sicherheit: vertraue nie dem Client. Natürlich kann man versuchen, über verschiedenste Wege sicherzustellen, dass „erlaubte“ Anwendungen ausgeführt werden. Für ein gewisses Level an Schutz braucht man aber ein entsprechendes Level an Zugriff (was ein ganz eigenes Problem mitbringt). Und auch dann kann der Nutzer einfach auch auf dieses Level zugreifen. Man dreht sich also im Kreis.
„Aber so könnten Seiten endlich sicherstellen, dass auch Werbung gesehen wird!“ Gratuliere, Thema verfehlt, sechs, setzen! Leute blockieren Werbung, weil es für benutzbare Websites inzwischen notwendig ist. Und wenn man seine Inhalte an die Deaktivierung des Blockers knüpft, verliert man eher einen Nutzer, als dass man einen Seitenaufruf mit Werbung gewinnt.
Google will doch nur das Beste…
Und wer das glaubt, ist selber Schuld. Google hat über die Jahre wieder und wieder und wieder und wieder gezeigt, dass sie nicht die Guten sind. Wisst ihr, wie lange ich gebraucht habe, um diese fünf Links zu finden? Keine 30 Sekunden.
Es gibt nur eine Lösung
Wieder und wieder haben Datenschützer und Leute, denen ein freies Internet am Herzen liegt nur eines zu sagen: Nutzt nicht Google. Wenn ihr nichts zahlt, seid ihr das Produkt. Das mag im Falle von Suchergebnissen noch vertretbar sein. Aber beim Browser, E-Mail und Social Media gibt es nur zwei Optionen: Non-Profit Alternativen nutzen (wie von disroot oder Mozilla) oder bezahlen. Ein schmaler Taler reicht da oft schon aus und ich helfe in der Kommentarspalte beim Finden von Alternativen gerne weiter.
UPDATE: Mozilla hat offiziell Stellung bezogen und lehnt diesen vorgeschlagenen Standard ab.
UPDATE 2: Der Besitzer des Repositories hat in einem Kommentar auf die Vorwürfe reagiert und stellt das vorgeschlagene System als eines zum Schutz der Privatsphäre dar.