Re: [lp-br-sp] [lp-br-es] Navegadores respeitosos existem?

[Thadeu Lima de Souza Cascardo]

On Tue, Aug 29, 2017 at 05:21:57PM -0300, panaggio wrote:
> > On Tue, 2017-08-29 at 13:41 -0300, Thadeu Lima de Souza Cascardo
> > wrote:
> > On Tue, Aug 29, 2017 at 04:58:56PM +0100, Raniere Silva wrote:
> > > > Alguém conhece alguma coisa que possa nos
> > > > ajudar a acabar de tapar os buracos do Firefox?
> > > 
> > > Pelo que eu entendi, o problema está na web e ao invés do
> > > navegador. Você precisa de várias extensões para bloquear o que a
> > > página que está carregando quer fazer. Uma opcão seria usar um
> > > browser
> > > minimalista que só carrega o HTML e para qualquer outro conteúdo
> > > ele precisa de permissão.
> > > 
> > > Eu iria sugerir o Gnome Web mas na minha visão o projeto Gnome
> > > também quer se tornar a próxima Apple.
> > > 
> > > Abracos,
> > > Raniere
> > 
> > Concordo que existe um sério problema na Web e na "indústria" de
> > software, em geral. O melhor é usar wget/curl e html2text mesmo, e
> > ainda
> > assim, tomar cuidado com os possíveis furos de segurança destes.
> 
> Eu diria que isso é factível quando vamos fazer alguma coisa sensível e
> específica. Em especial se formos fazer muitas vezes. Mas você
> realmente faz/faria isso para cada requisição web que precisa fazer?
> Isso é o equivalente pra mim de morar nas montanhas. É tão chato,
> trabalhoso, que dá vontade de simplesmente desistir. Se isso fosse a
> única opção que mantivesse minha privacidade, eu ia preferir viver
> desconectado.

Não, mas veja o que escrevo no final, como possível alternativa, mais
otimista.

> 
> >  E
> > torcer pro SSL do servidor estar atualizado e com chaves novas,
> > porque
> > Heartbleed. Agora, se você envia seus dados (ainda que somente
> > User-Agent), se você usa algo atrás de um grande provedor,
> > Cloudbleed. O
> > negócio tá feio.
> 
> Infelizmente isso está fora do controle de pessoas normais. Precisamos
> de uma nova internet, menos centralizada, pra resolver esse tipo de
> problema. Isso pro Cloudbleed. Mas a tendência da humanidade é
> centralizar e terceirizar as coisas. É nossa cultura. Será que isso vai
> ter remédio? Talvez a próxima espécie dominando do Homo seja mais
> esperta que a gente.

Sem dúvida. É um sério problema. Tem uma discussão lateral ocorrendo na
debian-devel sobre software cada vez mais sob o controle de um terceiro,
se deveria estar na main ou não.

A minha resposta a isso é conversar mais sobre isso, pra conscientizar
mais pessoas de que isso é um problema, e escrevermos mais software,
fazermos mais coisas que funcionem offline. Navegação geográfica, por
exemplo, é um problema que pode ser resolvido offline e, por muito
tempo, foi.

Pra não ficar me somente um exemplo, e usar um exemplo da Web: existem
ferramentas que permitem fazer download e ler a wikipedia offline.

Outra maneira de usar a web de forma offline após um download, e sem o
uso de um navegador é o uso de feeds (prefiro Atom a RSS :-). No SFD2016
que fizemos, o GFTG falou sobre RSS e eu falei sobre Software as a
Service Substitute, que é fazer justamente o oposto do que a indústria
tem feito: substituir serviços por software, ainda que sejam serviços
que antes já eram providos como software. Ou seja, permitir que mais
coisas que hoje fazemos online sejam feitas offline. Ou ainda, de forma
mais distribuídas.

Ou seja, temos que falar mais sobre isso, e fazer mais sobre isso. E
acho que cada gotinha vale. Não precisamos ficar desestimulados porque
achamos que é necessário muito esforço coletivo pra atingirmos o
objetivo. Talvez seja, mas sem a nossa participação, por menor que seja,
levaremos mais tempo pra chegar lá.

Sobre o Cloudbleed ou o uso de Cloudflare, é triste mesmo. O que fazer?
Há muitas maneiras de distribuir a carga, e temos que usar isso mais.
Onion services, GNUNet, ZeroNet, Bittorrent, etc, etc? Temos que usar
tudo o que temos. E se temos tantas ferramentas a escolher, é porque
outras pessoas se interessam em resolver os mesmos problemas, e isso tem
que nos animar, não nos colocar pra baixo.

> 
> Heartbleed eu considero uma ocorrência infeliz apenas. Não tinha muito
> como fugir. Foi um bug e bugs acontecem. SO que dá pra fazer hoje é
> torcer para que os adms dos servidores com os quais você interage
> tenham feito a lição de casa.

Mas mostra que toda maioria é burra.  :-P   Deveríamos usar mais outras
bibliotecas TLS/SSL por aí. Além do mais, mostra que precisamos de mais
camadas de proteção, que devemos usá-las. E que só a bandeirinha do
ecommerce não vai nos salvar. Isso inclui ter mais comunicação local.
Esse email que estou trocando com um grupo majoritariamente no Brasil
vai bater certamente na Europa (porque meu servidor está hospedado lá),
e muito provavelmente na América do Norte.

> 
> > Em uma nota um pouco mais prática: Tor Browser. Só porque você
> > perguntou
> > especificamente por "Android",
> > https://www.torproject.org/about/jobs-osdeveloperandroid.html.en
> 
> Então, eu até usei ele, mas não resolve nem metade dos problemas. Na
> verdade, se alguns dos plugins que citei funcionassem nele, resolveria
> grande parte do problema, mas não é tão simples assim infelizmente :(
> 

Não, mas talvez seja a organização que você procura, ou o projeto com o
qual colaborar. Não é tão simples mesmo. Tendo o Firefox como upstream,
fica difícil. Manter um projeto downstream, com patches e tudo o mais é
complicado. Mas é mais simples que fazer um browser do zero. Existem
algumas boas práticas pra tornar o trabalho downstream menos laboroso:
subir o máximo de patches upstream, e fazer rebase com a maior
frequência possível, porque não há nem garantias que upstream vai manter
os seus patches que estão lá.

> > Infelizmente, manter um web browser capaz de atender às necessidades
> > de
> > muitos usuários de hoje em dia, ou seja, suportando a Web "moderna",
> > com
> > Javascript, CSS3, HTML5, etc, etc, é um trabalho pra muitos, e já
> > ouvi
> > que não dá pra manter versão estável de browsers usando WebKit,
> > porque o
> > upstream mesmo não dá um bom suporte.
> 
> Eu temia que fosse necessário criar um novo coletivo para resolver esse
> problema de privacidade, como a Mozilla apareceu para resolver o
> problema da falta de padronização 15 anos atrás. Pode parecer
> romantização da minha parte, mas precisa de muita gente como você
> disse, muito esforço, muito dinheiro provavelmente, e não vamos ser
> nós, meia dúzia, que vamos resolver. Eu só esperava ouvir que talvez
> tivesse outra solução que não fosse começar quase do zero e erguer um
> navegador novo, livre de companhias que cagam e andam pro usuário, só
> pensam nos dados que vão coletar no final do dia. Mas acho que meu
> maior medo é a realidade.
> 
> Ou, pior ainda, talvez a web como conhecemos já esteja perdida pra
> sempre, não tenha mais volta. E vamos ter que começar algo novo, do
> zero, como GNUnet, ZeroNet, e ver se dá pra salvar essas outras do caos
> que certamente quem domina a internet e a web hoje vão querer impor.
> 
> -- 
> Ricardo Panaggio

Uma outra alternativa, na minha opinião, é construir aplicações nativas
que consumam mais o conteúdo ou o serviço que se quer acessar. Isso
praqueles casos em que não dá pra fazer offline ou distribuído mesmo. Dê
uma olhada no weboob (https://weboob.org/) pra ter um exemplo. É claro
que muitos desses "serviços" costumam quebrar alguma coisa, com
frequência. Por isso mesmo, temos que escrever mais protocolos
padronizados e abertos para distribuir tal conteúdo. De preferência,
distribuídos. Quando se trata de um serviço que exige comunicação
centralizada, utilizar padrões também.

Mas isso não é um mundo ideal, uma utopia? É sim! Mas precisamos
conversar sobre isso! Eu dei uma palestra no Web.BR ano passado sobre o
assunto. Precisamos fazer mais. E precisamos escrever código, fazer
engenharia reversa. É um jogo de gato e rato? Talvez seja, mas é um jogo
que, se não jogarmos, vamos perder com certeza. Ou não vamos perder, mas
vamos ter que viver isolados em nosso mundinho de listas de e-mail, IRC
e wiki. E fazer a travessia dolorosa sempre que precisarmos de algo que
esteja nesse mundo além.

Eu não acho que estamos perto do fim. Veja coisas como Bitcoin, que
desafiam o sistema financeiro. Sem dúvida, tem seus defeitos, está longe
de ser um David para o Golias, mas está aí. Alguém fez, e inspirou um
monte de outras coisas que estão aparecendo por aí.

Veja a Wikipedia. Todo ano, ela faz propagandas irritantes sobre como
ela não faz propaganda. E como isso é legal! Eu fiz minha doação. E
preciso contribuir mais com conteúdo, como comecei a fazer no início do
projeto.

E tantos outros projetos, pequenos, grandes, esquecidos, mantidos, etc.
E vamos dando nossa parte. De pouco em pouco, fazemos diferença pra
alguém.

Pode ser que essa preocupação seja de uma minoria. E acredito que seja,
e que talvez isso não mude. Então, não dá pra esperar que, de repente,
alguém muito grande com muito dinheiro, de fora da nossa comunidade, vai
aparecer e resolver o nosso problema. E isso é algo que não devemos
querer. É justamente a antítese do que queremos: alguém grande, com
muitos recursos (e poderes) resolvendo o problema pra gente. Então, tem
que partir da nossa própria comunidade a solução, ainda que seja algo
que só nós utilizemos inicialmente. E vamos espalhando a notícia, pra
que mais gente venha nos conhecer.

Abraços.
Cascardo.