google 推動 WEI， 企圖終結開放的網際網路

Google 躡手躡腳地 透過員工個人帳號 而非光明正大地從官方帳號把 Web Environment Integrity (WEI) 塞進 chrome 瀏覽器的程式碼， 引發鄉民強烈的抗議。

簡單地說， 這個機制讓網站可以挑訪客， 而挑選規則的細節則由第三方認證機構 (其實就是 google) 任意決定。 瀏覽器要造訪某個網站之前， 網站會要求瀏覽器向第三方認證機構 (attester) 取得某種憑證， 網站才願意顯示內容給瀏覽器看。 Bleeping computer 的圖解很清楚。

Google 工程師解釋說： 這是為了保障網站與訪客的權益。

1. 網站 廣告投放者希望他們的廣告是有效的， 不希望機器人來點廣告。
2. 社群網站的訪客希望他們是在跟真人互動， 而不是被機器人帳號帶風向。
3. 遊戲網站的訪客希望其他的遊戲參與者公平競爭、 沒有安裝作弊的擴充套件。

那個連結當中的這一句是理解技術原理的關鍵： Web Environment Integrity attests the legitimacy of the underlying hardware and software stack, 也請在該文當中搜尋 "attest"。 簡單地說， 硬體/韌體/作業系統底層的 TPM2 機制 - 例如禁止使用虛擬機等等有助於逆向工程的工具 - 是 google WEI 的立足點。 據此推論， 還可以幫他們的文宣補充幾點， WEI (貌似) 可以滿足以下各方的願望：

4. 線上考試的學生希望其他學生沒有安裝作弊的擴充套件。
5. 數位內容網站的創作者希望他的作品不會被任意下載。
6. 網路廣告商 (例如 google) 不希望用戶安裝擋廣告的擴充套件， 例如 ublock origin。

鄉民們的抗議主要集中在 「禁用 ad blocker」， 畢竟這一點跟 google 的利益最密切結合、 最容易引人起疑。 觀察到 「保護數位內容」 這一點的文章也不少， 例如 自由軟體基金會的文章 還有先前的 bleeping computer 的文章， 都很適切地直接把 WEI 稱為網頁版的 DRM。

其他瀏覽器開發者的反應 (Firefox、 Brave、 Vivaldi)： 這太邪惡了， 我們拒絕跟進！ 但是這沒有用。 未來許多網站會拒絕這些訪客， 結果只會迫使競爭瀏覽器的用戶們跳船改用 chrome。 那麼如果這些競爭者支援 WEI 呢？ 那也沒有用， 只是讓瀏覽器用戶們多一個選擇管道接受認證者 (google) 的控制。 Google 的計謀很可能成功的關鍵在於： 世界各國的企業、學校、銀行、政府機關等等網站， 都會很樂意配合認證機構 (google)， 要求訪客必須取得認證。 因為他們多數會被 google 的 「資訊安全/信任運算」 文宣說服， 而不理解這個機制的真實意義， 其實是讓網站免費幫助認證機構接收全球電腦的最高控制權。 這種騙局跟當初 IE-only 年代有點像： 網站自殘 - 犧牲自己的點閱率 - 來幫助微軟促成壟斷。 只不過 WEI 的後果更嚴重， 甚至涉及國家安全。

目前我所看到最有深度的分析：

1. 我自己的文章 :-) TPM2 + Windows 11 啟動個人電腦「淨化」與實名制
2. Google's Web Environment Integrity API is SafetyNet for websites XDA 開發者的分析， 提到未來有 root 的手機可能有很多網站都會無法造訪， 以及 google 的自我矛盾 (宣稱不會施行 browser fingerprinting， 又宣稱可以對單一裝置限制流量)。
3. 這個 github commit 底下的討論， 請先展開所有的留言， 再於該頁面搜尋 "adithya-s-sekhar" 這位用戶的留言。

未來大眾還有機會捍衛電腦自主權嗎？ 例如出現尊重用戶自主權的硬體， 允許用戶讀取自己的私鑰， 從底層徹底顛覆 WEI ？ 不幸地， 這可能也會被認證機構視為 「不受信任的電腦」。 如果全世界各大網站 (特別是各國政府的網站) 體認到 WEI 會助長壟斷、 傷害網際網路、 同時也傷害自身的自主權， 或許還可以阻止 WEI 的蔓延。 不過我個人猜測， 由於要理解這個機制的技術門檻有點高， 更有可能的未來是： 「不要求 WEI 的網站」 會佔所有網站的極小百分比， 「為了捍衛電腦自主權而盡量避免造訪 WEI 網站的用戶」 也會是小眾。 這些小眾網站與小眾用戶將構成一個小小的、 僅存的自由網路世界， 為人類保留一個小小的活化石， 展現著當初二十世紀末葉、 網際網路創始之初的自由文化。