Google scheint es zu lieben, Spezifikationen zu erstellen, die für das offene Web schrecklich sind, und es scheint, dass sie alle paar Monate einen Weg finden, eine neue zu erstellen. Dieses Mal sind wir auf eine Kontroverse gestoßen, die durch eine neue Web Environment Integrity Spezifikation verursacht wurde, an der Google zu arbeiten scheint.
Zu diesem Zeitpunkt konnte ich keine offizielle Nachricht von Google zu dieser Spezifikation finden. Es ist also möglich, dass es sich nur um die Arbeit eines fehlgeleiteten Ingenieurs im Unternehmen handelt, der keine Unterstützung von höherer Stelle hat, aber es scheint eine Arbeit zu sein, die seit mehr als einem Jahr andauert, und die daraus resultierende Spezifikation ist so schädlich für das offene Web, dass Google an diesem Punkt zumindest eine Erklärung abgeben muss, wie es so weit kommen konnte.
Was bedeutet Integrität der Web-Umgebung? Es ist einfach gefährlich.
The spec in question, which is described at https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md, is called Web Environment Integrity. The idea of it is as simple as it is dangerous. It would provide websites with an API telling them whether the browser and the platform it is running on that is currently in use is trusted by an authoritative third party (called an attester). The details are nebulous, but the goal seems to be to prevent „fake“ interactions with websites of all kinds. While this seems like a noble motivation, and the use cases listed seem very reasonable, the solution proposed is absolutely terrible and has already been equated with DRM for websites, with all that it implies.
Interessant ist auch, dass es im ersten aufgeführten Anwendungsfall darum geht, sicherzustellen, dass die Interaktionen mit Anzeigen echt sind. Oberflächlich betrachtet ist dies zwar nicht problematisch, aber es deutet darauf hin, dass Google bereit ist, jedes Mittel zu nutzen, um seine Werbeplattform zu stärken, ungeachtet des potenziellen Schadens für die Nutzer des Internets.
Obwohl im Text auf die unglaubliche Gefahr des Ausschlusses von Anbietern (sprich: anderen Browsern) hingewiesen wird, wird nur ein lauwarmer Versuch unternommen, das Problem anzugehen, und es wird keine wirkliche Lösung gefunden.
Was ist also das Problem?
Wenn eine Einrichtung die Befugnis hat, zu entscheiden, welchen Browsern vertraut wird und welchen nicht, gibt es keine Garantie dafür, dass sie einem bestimmten Browser vertrauen wird. Jedem neuen Browser würde standardmäßig nicht vertraut, bis er auf irgendeine Weise bewiesen hat, dass er vertrauenswürdig ist, was im Ermessen der Prüfer liegt. Außerdem würde jeder, der mit älterer Software arbeitet, die diese Spezifikation nicht unterstützt, letztendlich vom Web ausgeschlossen werden.
Erschwerend kommt hinzu, dass das wichtigste Beispiel für einen Prüfer Google Play auf Android ist. Das bedeutet, dass Google entscheidet, welcher Browser auf seiner eigenen Plattform vertrauenswürdig ist. Ich verstehe nicht, wie man von ihnen erwarten kann, dass sie unparteiisch sind.
Unter Windows würden sie sich wahrscheinlich über den Windows Store an Microsoft wenden, und auf dem Mac an Apple. Wir können also davon ausgehen, dass man zumindest Edge und Safari vertrauen wird. Jeder andere Browser wird dem Wohlwollen dieser drei Unternehmen überlassen.
Natürlich kannst du ein eklatantes Versäumnis im vorherigen Absatz feststellen. Was ist mit Linux? Nun, das ist die große Frage. Wird Linux komplett vom Browsen im Web ausgeschlossen werden? Oder wird Canonical durch die Kontrolle der Snaps-Paket-Repositories zum Entscheider? Wer weiß das schon. Aber es sieht nicht gut aus für Linux.
Das allein wäre schon schlimm genug, aber es kommt noch schlimmer. In den Spezifikationen wird angedeutet, dass ein Ziel darin besteht, sicherzustellen, dass echte Menschen mit der Website interagieren. Es wird in keiner Weise klargestellt, wie dies erreicht werden soll, so dass wir mit einigen großen Fragen darüber zurückbleiben, wie dies erreicht werden soll.
Werden Verhaltensdaten verwendet, um festzustellen, ob sich der Benutzer wie ein Mensch verhält? Werden diese Daten den Prüfern vorgelegt? Werden Zugänglichkeits-Tools, die auf der automatischen Eingabe in den Browser beruhen, dazu führen, dass dieser nicht mehr vertrauenswürdig ist? Wird es sich auf Erweiterungen auswirken? Die Spezifikation sieht derzeit eine Ausnahmeregelung für Browseränderungen und -erweiterungen vor, aber diese können die Automatisierung von Interaktionen mit einer Website trivial machen. Entweder ist die Spezifikation also nutzlos, oder es werden irgendwann auch hier Einschränkungen gelten. Andernfalls wäre es für einen Angreifer trivial, das Ganze zu umgehen.
Können wir uns einfach weigern, sie umzusetzen?
Leider ist es dieses Mal nicht so einfach. Jeder Browser, der dies nicht implementiert, würde nicht als vertrauenswürdig gelten, und jede Website, die sich für die Verwendung dieser API entscheidet, könnte daher Nutzer aus diesen Browsern abweisen. Google hat auch Möglichkeiten, die Übernahme durch die Websites selbst zu fördern.
Erstens können sie alle ihre Eigenschaften leicht von der Nutzung dieser Funktionen abhängig machen, und die Nichtverwendbarkeit von Google-Websites ist für die meisten Browser bereits ein Todesurteil.
Darüber hinaus könnten sie versuchen vorzuschreiben, dass Websites, die Google Ads nutzen, diese API ebenfalls verwenden, was sinnvoll ist, da das erste Ziel darin besteht, gefälschte Anzeigenklicks zu verhindern. Das würde schnell dafür sorgen, dass jeder Browser, der die API nicht unterstützt, zum Scheitern verurteilt wäre.
Es gibt Hoffnung.
Es ist sehr wahrscheinlich, dass das EU-Recht es nicht zulassen wird, dass einige wenige Unternehmen eine enorme Entscheidungsgewalt darüber haben, welche Browser erlaubt sind und welche nicht. Es besteht kein Zweifel, dass die Prüfer unter einem enormen Druck stehen würden, so fair wie möglich zu sein.
Leider sind die Gesetzgebungs- und Rechtsprechungsorgane in der Regel langsam, und es lässt sich nicht sagen, wie viel Schaden angerichtet wird, während die Regierungen und Richter diese Angelegenheit prüfen. Wenn dies zugelassen wird, wird es eine harte Zeit für das offene Web sein und könnte kleinere Anbieter erheblich beeinträchtigen.
Es ist seit langem bekannt, dass Google mit seiner Dominanz auf dem Webbrowsermarkt das Potenzial hat, zu einer existenziellen Bedrohung für das Web zu werden. Mit jeder schlechten Idee, die sie auf den Tisch gebracht haben, wie FLOC, TOPIC und Client Hints, sind sie der Verwirklichung dieses Potenzials näher gekommen.
Web Environment Integrity ist mehr vom Gleichen, aber auch ein Schritt über den Rest in der Bedrohung, die es darstellt, besonders da es verwendet werden könnte, um Microsoft und Apple zu ermutigen, mit Google zusammenzuarbeiten, um den Wettbewerb sowohl im Bereich der Browser als auch der Betriebssysteme zu beschränken. Es ist zwingend erforderlich, dass sie darauf aufmerksam gemacht und daran gehindert werden, sich weiterzuentwickeln.
Unsere Wachsamkeit ermöglicht es uns zwar, all diese Versuche, das Internet zu untergraben, zu bemerken und dagegen vorzugehen, aber die einzige langfristige Lösung besteht darin, Google dazu zu bringen, gleiche Bedingungen zu schaffen. Die Gesetzgebung hilft dabei, aber auch die Verringerung ihres Marktanteils.
In ähnlicher Weise wird unsere Stimme für jeden Vivaldi-Nutzer stärker, was es uns ermöglicht, in diesen Diskussionen effektiver zu sein. Wir hoffen, dass die Nutzer des Internets dies erkennen und ihre Browser entsprechend auswählen.
Der Kampf um die Offenhaltung des Netzes wird langwierig sein, und es steht viel auf dem Spiel. Lassen Sie uns gemeinsam kämpfen.