RFC 35140: Kebijakan HTTP Do-Not-Stab (2023)
(5snb.club)- Melalui premis satir bahwa situs web dapat menusuk pengguna,
Do-Not-Stabmemungkinkan pengguna menyampaikan preferensi bahwa mereka tidak ingin ditusuk melalui header HTTP - Sintaks header hanya
Do-Not-Stab: 1, dan jika header tidak ada maka dianggap sebagai preferensi bahwa pengguna ingin ditusuk - User agent tidak boleh menyalakan nilai ini secara default, dan ditetapkan aturan bahwa sinyal yang diatur sebagai default boleh diabaikan oleh layanan web yang tetap ingin menusuk pengguna
- Microsoft berjanji mendukung
Do-Not-Stabhanya di dalam EEA, dan di luar EEA pengguna masih bisa ditusuk meskipun header telah disetel - Melalui pengecualian seperti keuntungan komersial, permintaan pemerintah, pemrosesan persetujuan, dan tuntutan pemegang saham yang dapat didahulukan daripada kekhawatiran keselamatan, tulisan ini mengkritik cara perusahaan menghormati kebebasan memilih mereka sendiri
Aturan header Do-Not-Stab
Do-Not-Stabadalah header HTTP yang memungkinkan pengguna memberi tahu situs web tentang preferensi mereka terkait ditusuk- Dalam latar satirnya, selama 50 tahun terakhir perkembangan periferal membuat situs web mampu menusuk pengguna, bahkan sampai melahirkan industri Stabbings as a Service
- Pelaku jahat bisa saja mengabaikan preferensi pengguna, tetapi sebagian besar penusukan dianggap dilakukan bukan oleh pelaku jahat melainkan oleh perusahaan sah
- Standar ini memberi pengguna cara mudah untuk menolak semua penusukan, tetapi penusukan yang diwajibkan hukum dan penusukan yang tetap ingin dilakukan perusahaan dibiarkan sebagai pengecualian
- Sintaksnya hanya satu
Do-Not-Stab: 1- Jika header tidak ada, maka dianggap sebagai preferensi bahwa pengguna ingin ditusuk
- User agent tidak boleh mengadopsi header ini sebagai preferensi default
- Jika diatur demikian, layanan web dianjurkan untuk mengabaikan preferensi itu dan menusuk pengguna
- Alasannya, apakah pengguna ingin ditusuk atau tidak bukanlah sesuatu yang boleh diputuskan oleh user agent, melainkan harus menjadi pilihan eksplisit pengguna
Cakupan penerapan dan pengecualian
- Microsoft berjanji akan mendukung header
Do-Not-Stabdi dalam EEA, yaitu European Economic Area - Di luar EEA, dukungannya masih dalam proses, sehingga pengguna tetap bisa ditusuk meskipun header telah disetel
- Jika suatu negara keluar dari EEA, maka pengguna di negara itu bisa ditusuk
- Pengecualian
Do-Not-Stabdiakui ketika keuntungan komersial lebih besar daripada kekhawatiran keselamatan- Termasuk jika pengguna setuju untuk ditusuk, bahkan jika pengguna tidak tahu bahwa mereka telah menyetujuinya
- Untuk penusukan yang diminta pemerintah, situs web dianjurkan untuk tidak memperdebatkan legalitasnya, dan teksnya menyiratkan bahwa pengguna mungkin memang pantas menerimanya
- Penusukan yang masih memiliki kemungkinan tidak menyebabkan kematian pada pengguna
- Jika pemegang saham menginginkannya
- Komentar editor mengkritik situasi ketika perusahaan sebenarnya tahu bahwa mereka tidak boleh melakukan sesuatu, tetapi baru berhenti jika secara eksplisit dilarang
- Microsoft dinilai menghormati pilihan pengguna hanya di EEA karena kewajiban itu hanya ada di sana
- Juga mengkritik kasus IE yang menetapkan Do-Not-Track sebagai default sehingga semua orang akhirnya mengabaikan sinyal dari IE
- Tautan ke Pratinjau perubahan di Windows untuk mematuhi Digital Markets Act di European Economic Area
- Dengan mengutip frasa “We and our 756 partners process personal data”, tulisan ini mengkritik keras praktik adtech yang memproses data pribadi bersama 756 mitra
1 komentar
Opini Hacker News
Satirenya memang bagus, tetapi poin utamanya adalah ia mencerminkan perubahan sosial yang lebih besar: beban untuk melindungi otonomi pribadi telah bergeser dari institusi dan regulator ke pengguna individu
Entah itu Do-Not-Stab maupun Do-Not-Track, menurut saya bentuk kepatuhan sukarela apa pun sulit berdiri sejak awal ketika berhadapan dengan tekanan finansial
Sekarang kita perlu kembali menormalkan sikap militan dalam menghadapi masalah seperti ini, dan secara agresif serta konfrontatif mempertahankan kebebasan untuk menggunakan komputer kita sendiri dengan cara yang kita inginkan
Industri perangkat lunak tahu Chrome adalah perangkat lunak iklan, tetapi tetap membentangkan karpet merah dengan memasangnya di komputer mereka sendiri dan kerabat mereka; melihat mereka tidak beralih meski biaya pindah ke alternatif sangat rendah, saya skeptis orang-orang akan bersikap militan soal ini
Kita bukan hanya mendapatkan internet yang lebih baik bagi konsumen, tetapi perusahaan yang lebih baik juga mendapat imbalan dan menang. Bisa saja ini bias nostalgia, tetapi alasan lain pembangkangan diperlukan adalah karena pihak lawan juga melakukannya demi uang
Secara konkret, bisakah kita melakukan sesuatu seperti Adblock untuk cookie? Sepertinya data tercemar akan lebih efektif daripada pemblokiran. Kalau mereka meminta data, berikan saja data. Jika mereka menuntutnya tanpa persetujuan, data tercemar hanyalah kepatuhan yang bersifat jahat
Sebagai perluasan DNT, ini bahkan bisa distandardisasi seperti “jika persetujuan diminta setelah header DNT, user agent boleh menghasilkan data sintetis acak”
Perusahaan tampaknya tahu bahwa cukup dengan menaikkan biaya perlawanan pengguna dalam bentuk waktu dan kekesalan, mereka bisa menang dalam jangka panjang. Sejarah dan arah platform, dari browser ke App Store lalu ke berbagai SaaS, sangat tragis, dan di setiap tahap kendali pengguna terus berkurang
Kini pertanyaan besarnya adalah apakah kecerdasan buatan akan berpusat pada perusahaan atau terdemokratisasi, dan sampai sejauh mana; saya sulit optimistis
Atau kalau tidak mau terus mengklik Do-Not-Stab selama 60 tahun lagi, mungkin kita bisa menjadi penggembala atau semacamnya. Mungkin berhasil selama sekitar 10 tahun, tetapi pada akhirnya akan tiba saat ketika untuk memakai mobil, mesin pencuci piring, atau sakelar lampu, kita harus mengklik Do-Not-Stab, dan saat itu perusahaan menang
Pada akhirnya kita akan berkata, “Harusnya bersyukur mereka mau bertanya sebelum menusuk; sebenarnya sayalah yang berutang,” lalu setelah menjadi influencer penggembala terkenal, kita menantikan limpahan cinta dan uang. Jangan lupa like dan subscribe, seperti biasa jayalah korporasi
Yang penting, header Do-Not-Stab pernah diaktifkan secara default oleh satu engine browser, lalu dibuang karena struktur yang mengharuskan pengguna menyetujui penusukan secara eksplisit merugikan pendapatan industri penusukan
Untungnya, seseorang membuat alternatif nonstandar bernama General Assault Control, dan karena ini juga hanya memiliki satu nilai, Sec-GAC bisa disetel ke 1 untuk meminta situs web agar tidak menyerang
Secara desain, header ini tidak dapat diperluas, sehingga di masa depan tidak bisa dipakai untuk membedakan pembantaian pisau yang brutal dari komedi melempar pai ke wajah
Karena persyaratan hukum, header General Assault Control tidak bisa diaktifkan secara default. Di negara bagian AS seperti Colorado, yang diwajibkan adalah penolakan eksplisit, bukan persetujuan eksplisit
Ini melindungi industri penusukan dan penembakan Colorado yang berkembang pesat, karena sebagian besar pengguna tentu tidak ingin ditusuk
Fitur ini harus dimatikan secara default, tetapi organisasi yang membuat spesifikasinya sangat mendorong pelanggan untuk mengunduh browser pinggiran yang mengimplementasikan fitur ini. Namun untuk mengaktifkannya mungkin perlu about:config
Karena basis penggunanya kecil, situs web yang tidak mengikuti standar dapat memakai permintaan agar tidak diserang itu sendiri untuk membuat penusukan dan penembakan lebih presisi
Pengguna akhir dapat meminta file JSON dari server web yang berisi apakah server mendukung header GAC, tetapi server yang tidak patuh dapat memakai permintaan URL ini untuk menendang gigi pengguna
Dengan begitu, tidak menyetujui penusukan selalu menjadi pilihan aktif, dan pengguna yang ingin ditusuk atau dibuat cacat tidak akan secara tidak sengaja melewatkan kesempatan itu
Ini terlalu terang-terangan berpihak pada birokrasi UE. Tidak heran Eropa tidak punya perusahaan SaaS besar, karena lingkungan bisnisnya tidak ramah terhadap penusukan
Jumlahnya memang lebih sedikit daripada perusahaan AS dan China, tetapi sebagian telah diakuisisi atau memindahkan basisnya ke negara lain
Dengan harga murah 20 dolar per 1.000 klik, kami akan menyediakan banner persetujuan penusukan yang sepenuhnya mematuhi regulasi penusukan berbasis web UE dan California yang akan segera hadir
Selain itu, saya juga bingung bagaimana harus mengungkapkan dengan benar 846 broker penusukan yang bekerja sama dengan saya. Dengan birokrasi seperti ini menghalangi, bagaimana orang bisa mencari nafkah dari penusukan?
Situs web ini tampak seperti bagian dari webring yang terdiri dari transgender MtF, furry, orang-orang yang menyatakan diri sebagai robot, dan kombinasi dari semuanya. Sebagian bahkan hanya memakai kata ganti orang ketiga
Tampaknya semuanya, dalam suatu bentuk, adalah administrator sistem atau programmer
Bukan kelompok saya, tetapi saya sangat senang melihat pantulan indah internet lama di dalam webring ini
Header Do Not Track pertama kali diusulkan pada 2009 oleh peneliti Christopher Soghoian dan Sid Stamm, dan Mozilla Firefox adalah browser pertama yang mengimplementasikan fitur ini
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Semua situs yang saya buat, termasuk yang saya buat untuk pemberi kerja, mematuhinya. Hanya saja sepertinya itu bisa dilakukan karena pemberi kerja tidak mengetahuinya
Saat pengguna menjelajah dengan Do-Not-Track aktif, saya membuatnya melewati banner persetujuan cookie dan menganggap mereka tidak menginginkan apa pun selain yang benar-benar diperlukan, seperti cookie sesi dan login
Saya juga tidak memasang Google Analytics, dan hanya menaikkan counter satu kali tayang halaman tanpa informasi identitas pribadi
Namun sepertinya dianggap terlalu rumit dan “kurang daya penegakan”
Jika bertahan sampai GDPR, mungkin saja ia akan memiliki daya penegakan, tetapi Mozilla sudah menghapus dukungannya sebelum itu
Pernyataan bahwa “semua perusahaan benar-benar membenci pengguna” tidak sepenuhnya tepat
Alih-alih benar-benar membenci pengguna, lebih tepatnya mereka mencintai uang pengguna dan menunjukkan ketidakpedulian yang rusak terhadap pengguna itu sendiri
Strukturnya adalah perusahaan-perusahaan mencurigakan yang mengumpulkan data menjual data tentang pengguna kepada perusahaan-perusahaan mencurigakan lainnya. Dan semua ini disediakan gratis bagi pengguna
Tenang dulu. Organisasi punya banyak pilihan lain. Dukungan untuk Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone juga tetap tidak akan ada, jadi seluruh keluarga tetap bisa menikmatinya
Kalau RFC berarti request for comment, ada hal yang selalu membuat saya penasaran. Bagaimana cara meninggalkan komentar, dan siapa yang meninggalkannya?
Maksudnya, pendapat harus disampaikan jauh sebelum itu
Saya tidak tahu apakah anekdot ini benar, tetapi memang RFC biasanya berfungsi seperti keputusan akhir atas standar tersebut
Dalam praktiknya, setelah RFC mendapat ID, ia tidak bisa diubah atau ditarik kembali, hanya bisa digantikan oleh RFC lain
Seiring waktu, prosedur penerbitannya menjadi lebih formal dan komunitas yang mengonsumsi materi tersebut membesar, sehingga tujuannya berubah
Saat ini sudah diterbitkan lebih dari 8.500 RFC, mencakup panduan praktik terbaik, protokol eksperimental, materi informasional, dan tentu saja standar internet
https://www.rfc-editor.org/rfc/rfc8700.html
Sekarang, komentar harus disampaikan sebelum mencapai tahap “internet standard”
Saat saya dulu ikut, ada juga rapat tatap muka, tetapi kehadiran tidak wajib
Bukankah header ini pada akhirnya hanya menjadi satu lagi potongan entropi yang dipakai oleh perusahaan-perusahaan yang toh akan tetap menusuk?