Vivaldi slaat alarm over nieuw Google-voorstel: grote bedreiging voor het web
De makers van de Vivaldi-browser slaan alarm over een nieuw voorstel van Google en spreken zelfs van een "grote bedreiging" voor het open web die bestreden moet worden. Ook Mozilla is tegen het plan omdat het in strijd is met de principes en visie die de Firefox-ontwikkelaar naar eigen zeggen voor het web heeft.
Het voorstel waar de browserontwikkelaars over vallen heeft de naam "Web Environment Integrity" is bedacht door vier Google-engineers. Het biedt websites een API waarmee ze kunnen vertellen dat de browser en platform van bezoekers worden vertrouwd door een derde partij, de "attester". Volgens de Google-engineers moet op deze manier fraude worden voorkomen. Zo kunnen websites controleren dat bezoekers mensen zijn en geen bots.
Een van de grootste kritiekpunten is dat de attester bepaalt welke omgevingen zijn te vertrouwen. Zo zou Google Play een attester op Android zijn. Dit houdt in dat Google bepaalt welke browsers op het eigen platform te vertrouwen zijn, aldus Julien Picalausa van Vivaldi. In het geval van Windows verwacht hij dat de beslissing bij de Windows Store komt te liggen en op macOS bij Apple. Edge en Safari zouden dan zeker worden goedgekeurd, maar andere browsers zijn afhankelijk van de drie techbedrijven, stelt Picalausa.
Volgens webontwikkelaar Alex Ivanovs kan Googles voorstel ook worden gebruikt om gedrag op het web te controleren. "Sommige critici zijn bang dat het een verborgen introductie van Digital Rights Management (DRM) op webpagina's is, waardoor adblocking zo goed als onmogelijk wordt gemaakt." Hij voegt toe dat de gevolgen van het voorstel voor de privacy van gebruikers en de openheid van het web niet genegeerd mogen worden.
Ook Picalausa maakt zich zorgen. "Het is al lang bekend dat de dominantie van Google op de browsermarkt ze de potentie geeft om een existentiële bedreiging voor het web te worden. Met elk slecht idee dat ze hebben geopperd, zoals FLOC, TOPIC en Client Hints, zijn ze dichter bij die potentie gekomen." Eén van de Google-engineers kwam gisteren met een reactie op de ontstane ophef en stelt dat het voorstel niet bedoeld is om bepaalde browsers of extensies uit te zonderen. "Het doel van WEI is om een signaal te bieden dat een apparaat is te vertrouwen, niet om data of signalen over de browser op het apparaat te delen."
Attestation is m.i. een dubbelzinnig middel om te checken of een client-device mogelijk gehacked is: het kan eenvoudig voor andere doeleinden (discriminatie, user-tracking) worden ingezet.
...
Nou, doei dan!
90% van dat soort sites is toch alleen maar clickbait om zoveel mogelijk ad-revenue te genereren.
Een EU IP adres dat op een Cloudflare adres uit de USA geblokkeert gaat worden.
Persoonlijk kon ik het omzeilen via een web-proxy op een Amerikaanse server.
Je Big Brother index controleur staat klar.
Een site van een activist ooit bezocht, over de hele EU-line geblokkeerd.
Alle slimmere cybercriminelen wordt geen strobreed in de weg gelegd.
Ze kennen het klappen van de zweep.
De normale, gezagsgetrouwe licht digibete gebruiker wordt het bokkie.
Vanaf nu geen zelfstandige denkers meer gewenst, u zult zich conformeren, anders uitgesloten.
De prelude op EU CSS-scannen. Kan de goegemeente er vast aan wennen.
Trouwnss een opgelegde dictatuur went nooit.
#webproxy
https://www.security.nl/posting/804924/Google-advertenties+voor+populaire+software+leiden+weer+naar+ransomware
Tijd dat Google zelf met een onafhankelijke attester te maken krijgt voor al die meuk die ze als reclame presenteren.
Wij van WC-eend ...
Dat gebeurt ook met de policies van CABForum.
Als Europese instanties (na gedegen auditing en toezicht) concluderen dat een CA te vertrouwen is, dan meent BigTech dat zij (zonder gedegen onderzoek) een CA kan distrusten. Koop je ergens anders dan bij BigTech een certificaat, dan weet je als klant én als relying party niet meer of de dienst beschikbaar blijft.
Ondertussen verkleint CabForum keer op keer de geldigheidsduur van certificaten waardoor uiteindelijk alleen CA's van de BigTech nog efficient genoeg certificaten kan leveren.
Als BigTech nog de enige is die de validatiediensten levert (gekoppeld aan BigTech CA's) dan verliest de cookie wetgeving en de privacy wetgeving haar kracht.
Ondertussen wil BigTech SMIME certificaten vwb geldigheid terug brengen van 1015 dagen naar 825 dagen. Daarmee haalt BigTech gekwalificeerde certificaten op smartcards om zeep. 825 Dagen is namelijk 2,2 jaar en daarmee wordt de smartcard te duur. Die smartcard levert juist de hogere zekerheid dat een gebruikers certificaat niet kan worden misbruikt. Dit wordt maar eventjes genegeerd en terzijde geschoven.
Ik daag uit
als iemand op een ander technisch vlak een voorbeeld kan noemen, doe dat dan.
het is niet de gebruikte woorden die de werkelijke bedoelingen weerspiegelen
het zijn de daden
Makers van smartphones en/of de besturingssystemen daarvan zijn typische attesters. Huawei kan een attester zijn, maar als RP's besluiten dat zij attestations van Huawei (evt. gesigneerd met een private key plus certificaat dat bijvoorbeeld ouder is dan een bepaalde datum) niet vertrouwen, kunnen bezitters van dergelijke Huawei-apparatuur mogelijk "niet overal meer bij".
Dit beperkt zich natuurlijk niet tot (apparatuur van) Huawei, dat ik slechts als voorbeeld gebruikte.
Attestation is natuurlijk ook "handig" in te zetten tegen mensen die "een foute app zoals Telegram of TikTok" op hun smartphone hebben, of een besturingssysteem gebruiken dat überhaupt geen attestation rapportages genereert (of rapporten genereert met signatures die niet door RP's worden vertrouwd).
Attestation is als een soort UEFI, maar dan voor alle software én de gebruiker.
Vanzelfsprekend zal af en toe blijken dat het te omzeilen valt (een rat race dus), maar het zou de bulk van de mensheid in het "gewenste gareel" kunnen dwingen.
Indirect of direct kan attestation ook sterk identificerend zijn (niet noodzakelijkerwijs "absoluut"). Dus als jij, met jouw toestel, op twitter (of X of whatever) claimt Nigel Farage te heten en nare dingen schrijft over banken, kan in principe jou (jouw apparaat) de toegang tot banken worden ontzegd - ongeacht wat jouw echte naam is.
Zo kan de maatschappij ook Anoniemen verbannen en iedereen dwingen minstens een pseudoniem te gebruiken (waarbij je sowieso een toenemend aantal commerciële partijen, die weten wie jij echt bent, erop zult moeten vertrouwen dat zij die info niet -bewust of onbewust- lekken).
Edit 17:44: "attestor" vervangen door "attester" (beide lijken te mogen maar attester lijkt vaker te worden gebruikt bij digitale zaken).
Makers van smartphones en/of de besturingssystemen daarvan zijn typische attestors. Huawei kan een attestor zijn, maar als RP's besluiten dat zij attestations van Huawei (evt. gesigneerd met een private key plus certificaat dat bijvoorbeeld ouder is dan een bepaalde datum) niet vertrouwen, kunnen bezitters van dergelijke Huawei-apparatuur mogelijk "niet overal meer bij".
Dit beperkt zich natuurlijk niet tot (apparatuur van) Huawei, dat ik slechts als voorbeeld gebruikte.
Attestation is natuurlijk ook "handig" in te zetten tegen mensen die "een foute app zoals Telegram of TikTok" op hun smartphone hebben, of een besturingssysteem gebruiken dat überhaupt geen attestation rapportages genereert (of rapporten genereert met signatures die niet door RP's worden vertrouwd).
Verder is Microsoft ook bezig met Ubuntu (wsl) en MacOS komt zelfs uit BSD linux. Idem voor Android. Zonder linux had dat niet bestaan. De meeste linux gebruikers gebruiken ook drm protected content op hun machine. Dat is allemaal geen groot probleem gebleken.
Je kunt net zo goed de overgebleven waakhonden de tanden uittrekken. De burger is een in de weg lopende factor bij dit eindspel.
Erg als je de feitelijke agenda opmaakt.
Websites indexeren en met ransomeware geinfecteerde reclame serveren.
Meer hoeft ze niet te doen. Dat is namelijk al te veel.
Ungoogled Chrome is nooit een populaire browserversie geweest en werd ijlings verlaten door de ontwerpers.
Je kon er ook geanonimiseerd extensies onder draaien.
Beaker als P2P browser vraagt om externe beveiligingsprogramma's (ad- & smutblokkering etc.)
Bij de aanvankelijk door Brendan Eich gelanceerde browser Brave, blijft het Amerikaanse dataslurpen doorgaan.
Het liefst dan toch maar werken op linux OS met Falcon browser en voor video de fijne Olivia tool.
Als je zelf niet zo veel mogelijk afkoppelt van het grid, val je wel in handen van de een of andere Amerikaanse durfkapitalist,
die jou je eigen data laat minen voor giga-gewin. Dan wordt het Internet, net een grote digi-cyber-plantage.
Slave to the rythm.....
luntrus
in spreekwoordelijke zin voor de Venetiaanse
ponte di sopirami (brug der zuchten).
De techniek om ons daar te krijgen is er reeds
met o.a nano-technologie, mRNA, quantum computing,
alles om van ons 'hackbare dieren' te kunnen maken
- zonder ziel a.k.a vrije wil.
Apocalyptische vooruitzichten doemen op.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.