Re: [LibrePlanet-BR] [lp-br-sp] Navegadores respeitosos existem?

[Adonay Felipe Nogueira]

Estou repassando ao grupo LibrePlanet Brasil pois acho interessante
envolver os demais.

Eu acho que grande parte do problema está na existência de programas
executados do lado do cliente, atualmente feitos via JavaScript. O nome
ou a linguagem *não importam*, o que importa é a forma com a qual os
sites assumem que você possui tal programa habilitado, pois me parece
que muitos sites esqueceram que aprimoramento progressivo (/progressive
enhancement/) está em uma posição prioritária do que design responsivo
(/responsible design/) (para um protesto similar, veja
<https://mikegerwitz.com/2017/06/Don-t-force-me-to-use-your-tools-on-the-Web>,
membro da FSF, desenvolvedor em JavaScript, e do GNU ease.js, além de
apoiar tanto o GNU LibreJS quanto do NoScript).

Já se sabe que, navegadores geralmente *não têm o costume* de perguntar
ao usuário se devem executar um software escrito em JavaScript antes de
fazê-lo. Além disso, não existe padrão para a Web que force os
proprietários de tal JavaScript a fornecer campos como "licença" (este
com acesso direto à licença, e opcionalmente seu nome amigável; ou sendo
um campo contendo a licença completa em si), "proprietários"/"donos", e
"arquivo-fonte" (este em acesso direto), com diálogo de confirmação para
que o usuário decida o que fazer. Além disso, na hipotética ausência
destes campos, os navegadores deveriam enfatisar isso de forma legível.

Atualmente, devemos fazer todos estes:

- Estimular o uso das extensões para GNU IceCat mencionadas em:
  
<https://media.libreplanet.org/u/libreplanet/m/the-surreptitious-assault-on-privacy-security-and-freedom/>
  (incluindo o uso do NoScript). Aliás: "Desabilite o *dito
  JavaScript. A Web não está quebrada sem ele. Eles estão quebrando a
  Web com ele." --- Mike Gerwitz.

- Estimular o desenvolvimento de JavaScript com marcações de acordo com
  o recomendável pelo manual/documentação do GNU LibreJS. Precisamos
  urgentemente de aprimoramentos para que /website management systems/
  (WMS) ou /website revision systems/ (WRS) conhecidos e livres
  entreguem, por padrão, software livre ao *visitante* dos
  sites. Exemplos de trabalhos a serem feitos incluem: WordPress,
  Joomla, Noosfero, MoinMoin, MediaWiki, além dos temos para
  estes. Outros projetos que *podem* necessitar aprimoramentos para
  conformidade com GNU LibreJS são: Moodle, Diaspora, Friendica,
  Hubzilla, Pump.io, GNU Social, Bugzilla, e temas relacionados para
  estes.

- Estimular processos de padronização para Web em favor de substituir o
  *comportamento* dos navegadores.

- Estimular processos de padronização para Web em favor de substituir o
  JavaScript atual por algum que requer aqueles campos mencionados
  acima.

Além disso, sobre vulnerabilidades na Web e seus impactos, isso parece
ser causado por práticas como: imutabilidade de comtainers, copiar algo
e incluí-lo no seu próprio projeto (/bundling/), fazer /bundling/ e
customizar sem levar os aprimoramentos ao projeto original, reinventar a
roda, gerenciadores de pacotes específicos para cada linguagem, entre
outras coisas. Argumentos contra estas práticas podem ser vistas em:
<https://wingolog.org/archives/2015/11/09/embracing-conways-law>,
<https://media.libreplanet.org/u/libreplanet/m/solving-the-deployment-crisis-with-gnu-guix-f8fd/>.
 Inclusive,
o projeto GNU Guix tenta evitar /bundling/. Quando um pacote é
encontrado com algum bundle, este é considerado um bug no GNU Guix.

Além disso, é possível instalar o GNU Guix no Debian, e instalar a
última versão do GNU IceCat via GNU Guix.

Também acho importante suportar padrões de federação que respeitam as
preferências de edição e interação dos usuários, um exemplo deste, que
está em construção, é o ActivityPub. Outros já existentes incluem
e-mail, listas de discussão/e-mails, agregadores de conteúdo (Atom ou
RSS, eu prefiro Atom também, ;) ).

Mais do que federação, distribuição támbém é importante, e sobre esta
penso ser importante suportar GNUnet, GNU Ring, Twister, BitMessage,
YaCy, e o famoso e imutável BitTorrent (apenas considerando DHT, pois se
for usado com "trackers", estes tornam a comunicação federada).

Além disso, concordo que dispositivos móveis e conformidade com a GPL
merecem um tópico separado, ;). haja vista que, conforme se observa com
alguns fabricantes de dispositivos móveis, estes não parecem estar em
conformidade com a GPL, e o projeto Android parece estar focado em
"adoção em massa" ao invés de reforçar a GPL de forma orientada à
comunidade.

Sobre a mudança de foco do GNOME: Concordo que devemos ficar de olho na
mudança de comportamento do projeto, e uma boa ideia seria ter alguém
participando do desenvolvimento do projeto. Além disso, concordo que
devemos buscar a "amigabilidade", mas *priorizando* as liberdades
essenciais do software livre e o mantenimento da democracia
(<https://www.gnu.org/philosophy/surveillance-vs-democracy.html>).

Estou interessado em trabalhar nas partes relacionadas ao JavaScript em
sites e WMS/WRS existentes, inclusive, se pudermos fazê-lo através da
abertura de uma organização (sem fins lucrativos, ou com fins
lucrativos) ou da contratação por parte de uma organização.


Respeitosamente, Adonay.

Ricardo Panaggio <address@hidden> writes:

> Olá,
>
> Como muitos sabem, desde que me desliguei da Mozilla, parte (quase
> toda?) a minha cegueira com relação a ela desapareceu. Eu finalmente vi
> toda a desgraça que muitos vinham me alertando e talvez tenha visto
> ainda mais, depois de viver alguns dos meus piores dias sendo membro da
> tal comunidade.
>
> De algum tempo pra cá, venho me preocupando cada vez mais com minha
> privacidade, por diversos motivos. E minha privacidade na web está cada
> vez mais difícil de proteger.
>
> Hoje, eu utilizo o Firefox que vem junto com o Debian, 52.3.0, umas
> poucas versões atrás do mais atual (55). O que não é problema algum. Na
> verdade, fico até surpreso de estarmos tão perto do atual no Debian. E
> de ter todos os fixes de segurança aplicados.
>
> No meu celular (um Red Mi 2 Pro, que escolhi entre outros motivos porque
> o MIUI é GPL, talvez o computador de bolso "moderno" mais livre que eu
> consegui encontrar), eu uso o navegador nativo do MIUI, que é uma
> porcaria em termos de privacidade. Uso o que posso de Tor, VPN, modo
> privado, ... mas ainda assim não resolve nem 10% das minhas preocupações.
>
> Não migrei para o Firefox para Android ou para o Focus (que inclusive
> desconheço se faz o que promete) porque ambos tem algumas limitações que
> não me agradam, apesar de que seriam melhores que a situação atual. Mas
> cansei de limpar uma bota de lama enquanto a outra está atolada até a
> canela, e fazer a troca pra ficar todo sujo de novo.
>
> Atualmente, pra tentar me proteger, eu uso uma dezena de extensões para
> o Firefox desktop, e algumas não estão disponíveis para mobile (Android,
> iOS, ou para outros navegadores):
>
> * Clean links: Converte links ofuscados e aninhados, evitando entre
> outras coisas tracking
> * Descentraleyes: Emulação local de CDNs
> * Disable Hello, Pocket & Reader+: Desliga o suporte ao Pocket (software
> privativo que vem com o Firefox, Hello (que usa software privativo do
> lado do servidor e aparentemente não é seguro como prometem), WebRTC
> (que é uma ideia até interessante, mas foi implementado como uma
> aberração, ... Isso tudo dava pra fazer com configurações, mas prefiro
> garantir que não vou esquecer de configurar nada numa nova instalação
> * HTTPS Everywhere: deve ser conhecido de todos
> * Privacy Badger: Bloqueia semi-inteligentemente rastreadores e propagandas
> * Random Agent Spoofer: gera a cada tempo (no meu caso, poucos minutos)
> um novo user agent, assim fica mais difícil rastrear você por esse recurso
> * RequestPolicy Continued: Controla todas as requisições cross-site
> semi-automaticamente.
> * Self-Destructing cookies: sempre que uma aba é fechada, o cookie dela
> é destruído
> * uBlock Origin: Filtro de ads automático. Uso como primeiro filtro,
> antes de deixar alguma coisa passar pro Privacy Badger.
> * Canvas Fingerprint blocker: como esse é o método mais eficiente de
> identificar unicamente um dispositivo, é sempre bom bloquear.
>
> Isso é pouco. Tem ainda muitos buracos:
>
> * Eu tinha um addon para que os cookies existissem apenas dentro de uma
> aba, um sandobx de cookies por abas. Ele foi descontinuado e nunca mais
> encontrei nada parecido. Cheguei a começar a fazer um, quando vi que o
> modelo de extensões do Firefox ia mudar. Desisti enquanto não
> estabilizasse, e nunca mais retomei.
>
> * A Mozilla frequentemente envia chamadas pra nave mãe, como faz o
> Google com o Chrome e até no Chromium, e não tenho certeza que a versão
> distribuída pelo Debian resolve esse problema (não consegui ainda
> confirmar nem que sim, nem que não, mas o medo do sim persiste)
>
> * Existe uma "feature" que permite que crash reports sejam enviados
> automaticamente para a Mozilla, sem perguntar absolutamente nada ao
> usuário. Eu já li esses relatórios, e eles não são tão anônimos quanto a
> Mozilla prega. Não sei se em algum momento isso vem habilitado por
> padrão no Debian (em atualizações do Firefox normal essa flaf geralmente
> se habilita sozinha), mas corre o risco de um usuário desavisado
> habilitar isso sem saber e ferir gravemente sua privacidade
>
> * DRM está na build do Debian e praticamente todas as outras, apesar de
> desabilitado por padrão. IMHO, isso deveria ser estripado. Um usuário
> desavisado não deveria poder habilitar isso sem saber das consequências.
> Porque é só um checkbox inocente. Você clica e não aparece nem um aviso.
>
> * Um monte de configurações ficam escondidas no about:config, algo que
> usuários normais não vão fazer. Pra desabilitar Pocket, Hello, e várias
> outras coisas, só via about:config. Coisas que nem deveriam vir com o
> navegador, pra começar.
>
> * Telemetry. Isso acredito que o Debian já remove, mas tem um monte de
> gente que está desprotegido por usar o Firefox da Mozilla ou de outra
> distro que não remova. Isso coleta um monte de informação do uso do
> navegador e da navegação do usuário, e deveria ser extinto.
>
> * Geolocalização: A Mozilla não é muito diferente do Google na forma de
> tentar adivinhar sua localização. Na verdade, ele já usou ou ainda usa
> os serviços de geolocalização do Google, enviando toda a informação que
> o Google costuma coletar, que deve ser do conhecimento de todos. Mas ela
> te oferece também um serviço próprio, o Mozilla Location Service, que
> recolhe um monte de informação como o Google. Um produto livre, mas com
> um overlord novo. Não acho que mudou muita coisa.
>
> * A Nova aba em branco do Firefox agora gera propaganda baseada no seu
> histórico de navegação. De novo, com DNT habilitado, isso não acontece,
> mas um usuário desavisado poderia ser rastreado por isso. Meu
> about:blank é personalizado faz alguns anos (realmente uma página vazia,
> sem absolutamente nada), então não sei se o Debian já removeu isso, mas
> é mais um lixo adicionado pela Mozilla para comprometer a privacidade do
> usuário, com o intuito de gerar receita.
>
> Essa lista vai embora. Isso é o que eu consegui lembrar rápido, e também
> não queria que deixassem de ler o reto do e-mail, o mais importante.
>
> A mentalidade da Mozilla foi corrompida pelo vale do silício e seu
> futuro é totalmente escuro. Eles fizeram dezenas de experimentos
> recentemente (Firefox OS talvez o mais conhecido deles, principalmente
> dentro do LibrePlanet BR, por minha culpa) que mostram que eles querem
> virar um Google, Facebook, ... fazendo o que for necessário (no pior
> sentido possível da expressão), mas pagando de boa gente.
>
> Além disso, em breve a Mozilla vai mudar a forma de gerenciar extensões,
> e uma parte grande dessas extensões que citei vão pro buraco, por falta
> de suporte da Mozilla, APIs no Firefox na versão em que só Web
> Extensions vão funcionar, ... Isso significa que ou essas extensões vão
> ter que ser reescritas, ou vamos passar um tempo com mais buracos. Ou
> até que essas extensões não poderão existir por falta de suporte pra sempre.
>
> O IceCat nunca foi uma opção. Com pouca gente trabalhando no projeto,
> era mais fácil se proteger tentando tapar os buracos do Firefox do que
> usando software de muito tempo atrás, com dezenas de vulnerabilidades.
>
> O Chromium nunca foi uma opção também. Desses problemas que citei, acho
> que todos acontecem além de outros, e não há uma cobertura boa de addons
> para resolver o que é resolvível no Firefox. Isso se repete para
> diversos forks de ambos, Firefox e Chromium. E vários outros menores
> (Midori, entre outros) não tem um monte de lixo que vem com os grandes,
> mas também não vem com as possibilidades de proteção dos grandes.
>
> Pra onde quer que eu olhe, o Firefox ainda com esse monte de problema, é
> a melhor solução hoje. E parece que o pessoal do Prism Break tem a mesma
> ideia. Eu acompanho as issues lá relacionadas a navegadores, e parece
> que essa, apesar de uma péssima opção, mas é a melhor que temos.
>
> Então venho pedir ajuda: Alguém conhece alguma coisa que possa nos
> ajudar a acabar de tapar os buracos do Firefox? Alguém conhece outros
> grupos que poderiam se unir ao IceCat pra poder correr atrás do prejuízo
> e resolver todos esses problemas? Alguém afim de unir esforços para
> criar os outros addons necessários? Alguém tem alguma outra ideia melhor
> que essas?
>
> E mais: Alguém conhece algum navegador para computadores de bolso que
> tenha o mínimo de problemas? Eu testei dezenas, mas nada chega aos pés
> do setup que tenho no Firefox do meu desktop. Muitas vezes prefiro
> esperar chegar em casa para navegar no meu computador do que correr o
> risco de navegar no celular.

-- 
- https://libreplanet.org/wiki/User:Adfeno
- Palestrante e consultor sobre /software/ livre (não confundir com
  gratis).
- "WhatsApp"? Ele não é livre. Por favor, use o GNU Ring ou o Tox.
- Contato: https://libreplanet.org/wiki/User:Adfeno#vCard
- Arquivos comuns aceitos (apenas sem DRM): Corel Draw, Microsoft
  Office, MP3, MP4, WMA, WMV.
- Arquivos comuns aceitos e enviados: CSV, GNU Dia, GNU Emacs Org, GNU
  GIMP, Inkscape SVG, JPG, LibreOffice (padrão ODF), OGG, OPUS, PDF
  (apenas sem DRM), PNG, TXT, WEBM.