1 poin oleh GN⁺ 2024-11-26 | 1 komentar | Bagikan ke WhatsApp
  • Melalui premis satir bahwa situs web dapat menusuk pengguna, Do-Not-Stab memungkinkan pengguna menyampaikan preferensi bahwa mereka tidak ingin ditusuk melalui header HTTP
  • Sintaks header hanya Do-Not-Stab: 1, dan jika header tidak ada maka dianggap sebagai preferensi bahwa pengguna ingin ditusuk
  • User agent tidak boleh menyalakan nilai ini secara default, dan ditetapkan aturan bahwa sinyal yang diatur sebagai default boleh diabaikan oleh layanan web yang tetap ingin menusuk pengguna
  • Microsoft berjanji mendukung Do-Not-Stab hanya di dalam EEA, dan di luar EEA pengguna masih bisa ditusuk meskipun header telah disetel
  • Melalui pengecualian seperti keuntungan komersial, permintaan pemerintah, pemrosesan persetujuan, dan tuntutan pemegang saham yang dapat didahulukan daripada kekhawatiran keselamatan, tulisan ini mengkritik cara perusahaan menghormati kebebasan memilih mereka sendiri

Aturan header Do-Not-Stab

  • Do-Not-Stab adalah header HTTP yang memungkinkan pengguna memberi tahu situs web tentang preferensi mereka terkait ditusuk
  • Dalam latar satirnya, selama 50 tahun terakhir perkembangan periferal membuat situs web mampu menusuk pengguna, bahkan sampai melahirkan industri Stabbings as a Service
  • Pelaku jahat bisa saja mengabaikan preferensi pengguna, tetapi sebagian besar penusukan dianggap dilakukan bukan oleh pelaku jahat melainkan oleh perusahaan sah
  • Standar ini memberi pengguna cara mudah untuk menolak semua penusukan, tetapi penusukan yang diwajibkan hukum dan penusukan yang tetap ingin dilakukan perusahaan dibiarkan sebagai pengecualian
  • Sintaksnya hanya satu
    • Do-Not-Stab: 1
    • Jika header tidak ada, maka dianggap sebagai preferensi bahwa pengguna ingin ditusuk
  • User agent tidak boleh mengadopsi header ini sebagai preferensi default
    • Jika diatur demikian, layanan web dianjurkan untuk mengabaikan preferensi itu dan menusuk pengguna
    • Alasannya, apakah pengguna ingin ditusuk atau tidak bukanlah sesuatu yang boleh diputuskan oleh user agent, melainkan harus menjadi pilihan eksplisit pengguna

Cakupan penerapan dan pengecualian

  • Microsoft berjanji akan mendukung header Do-Not-Stab di dalam EEA, yaitu European Economic Area
  • Di luar EEA, dukungannya masih dalam proses, sehingga pengguna tetap bisa ditusuk meskipun header telah disetel
  • Jika suatu negara keluar dari EEA, maka pengguna di negara itu bisa ditusuk
  • Pengecualian Do-Not-Stab diakui ketika keuntungan komersial lebih besar daripada kekhawatiran keselamatan
    • Termasuk jika pengguna setuju untuk ditusuk, bahkan jika pengguna tidak tahu bahwa mereka telah menyetujuinya
    • Untuk penusukan yang diminta pemerintah, situs web dianjurkan untuk tidak memperdebatkan legalitasnya, dan teksnya menyiratkan bahwa pengguna mungkin memang pantas menerimanya
    • Penusukan yang masih memiliki kemungkinan tidak menyebabkan kematian pada pengguna
    • Jika pemegang saham menginginkannya
  • Komentar editor mengkritik situasi ketika perusahaan sebenarnya tahu bahwa mereka tidak boleh melakukan sesuatu, tetapi baru berhenti jika secara eksplisit dilarang
    • Microsoft dinilai menghormati pilihan pengguna hanya di EEA karena kewajiban itu hanya ada di sana
    • Juga mengkritik kasus IE yang menetapkan Do-Not-Track sebagai default sehingga semua orang akhirnya mengabaikan sinyal dari IE
    • Tautan ke Pratinjau perubahan di Windows untuk mematuhi Digital Markets Act di European Economic Area
    • Dengan mengutip frasa “We and our 756 partners process personal data”, tulisan ini mengkritik keras praktik adtech yang memproses data pribadi bersama 756 mitra

1 komentar

 
GN⁺ 2024-11-26
Opini Hacker News
  • Satirenya memang bagus, tetapi poin utamanya adalah ia mencerminkan perubahan sosial yang lebih besar: beban untuk melindungi otonomi pribadi telah bergeser dari institusi dan regulator ke pengguna individu
    Entah itu Do-Not-Stab maupun Do-Not-Track, menurut saya bentuk kepatuhan sukarela apa pun sulit berdiri sejak awal ketika berhadapan dengan tekanan finansial
    Sekarang kita perlu kembali menormalkan sikap militan dalam menghadapi masalah seperti ini, dan secara agresif serta konfrontatif mempertahankan kebebasan untuk menggunakan komputer kita sendiri dengan cara yang kita inginkan

    • Di HN, begitu Firefox disebut, biasanya langsung bermunculan kekeliruan solusi sempurna, jadi menarik bahwa pesan seperti ini mendapat banyak upvote
      Industri perangkat lunak tahu Chrome adalah perangkat lunak iklan, tetapi tetap membentangkan karpet merah dengan memasangnya di komputer mereka sendiri dan kerabat mereka; melihat mereka tidak beralih meski biaya pindah ke alternatif sangat rendah, saya skeptis orang-orang akan bersikap militan soal ini
    • Benar. Sebagai generasi milenial, saya merasa masa ketika ada pembangkangan sipil itu lebih baik
      Kita bukan hanya mendapatkan internet yang lebih baik bagi konsumen, tetapi perusahaan yang lebih baik juga mendapat imbalan dan menang. Bisa saja ini bias nostalgia, tetapi alasan lain pembangkangan diperlukan adalah karena pihak lawan juga melakukannya demi uang
      Secara konkret, bisakah kita melakukan sesuatu seperti Adblock untuk cookie? Sepertinya data tercemar akan lebih efektif daripada pemblokiran. Kalau mereka meminta data, berikan saja data. Jika mereka menuntutnya tanpa persetujuan, data tercemar hanyalah kepatuhan yang bersifat jahat
      Sebagai perluasan DNT, ini bahkan bisa distandardisasi seperti “jika persetujuan diminta setelah header DNT, user agent boleh menghasilkan data sintetis acak”
    • Kalau mau sangat ketat, justru karena ia mencerminkan perubahan itu maka ini satir yang bagus. Sangat dipengaruhi oleh karya aslinya, A Modest Proposal
    • Sekalipun kita mencoba mempertahankan secara agresif dan konfrontatif kebebasan memakai komputer sesuai keinginan, sayangnya itu selalu menjadi perang atrisi
      Perusahaan tampaknya tahu bahwa cukup dengan menaikkan biaya perlawanan pengguna dalam bentuk waktu dan kekesalan, mereka bisa menang dalam jangka panjang. Sejarah dan arah platform, dari browser ke App Store lalu ke berbagai SaaS, sangat tragis, dan di setiap tahap kendali pengguna terus berkurang
      Kini pertanyaan besarnya adalah apakah kecerdasan buatan akan berpusat pada perusahaan atau terdemokratisasi, dan sampai sejauh mana; saya sulit optimistis
      Atau kalau tidak mau terus mengklik Do-Not-Stab selama 60 tahun lagi, mungkin kita bisa menjadi penggembala atau semacamnya. Mungkin berhasil selama sekitar 10 tahun, tetapi pada akhirnya akan tiba saat ketika untuk memakai mobil, mesin pencuci piring, atau sakelar lampu, kita harus mengklik Do-Not-Stab, dan saat itu perusahaan menang
      Pada akhirnya kita akan berkata, “Harusnya bersyukur mereka mau bertanya sebelum menusuk; sebenarnya sayalah yang berutang,” lalu setelah menjadi influencer penggembala terkenal, kita menantikan limpahan cinta dan uang. Jangan lupa like dan subscribe, seperti biasa jayalah korporasi
    • Waktu terbaik untuk memulainya adalah 19 hari lalu, tetapi sekarang kita sudah sampai di sini. Kita harus memasang sabuk pengaman
  • Yang penting, header Do-Not-Stab pernah diaktifkan secara default oleh satu engine browser, lalu dibuang karena struktur yang mengharuskan pengguna menyetujui penusukan secara eksplisit merugikan pendapatan industri penusukan
    Untungnya, seseorang membuat alternatif nonstandar bernama General Assault Control, dan karena ini juga hanya memiliki satu nilai, Sec-GAC bisa disetel ke 1 untuk meminta situs web agar tidak menyerang
    Secara desain, header ini tidak dapat diperluas, sehingga di masa depan tidak bisa dipakai untuk membedakan pembantaian pisau yang brutal dari komedi melempar pai ke wajah
    Karena persyaratan hukum, header General Assault Control tidak bisa diaktifkan secara default. Di negara bagian AS seperti Colorado, yang diwajibkan adalah penolakan eksplisit, bukan persetujuan eksplisit
    Ini melindungi industri penusukan dan penembakan Colorado yang berkembang pesat, karena sebagian besar pengguna tentu tidak ingin ditusuk
    Fitur ini harus dimatikan secara default, tetapi organisasi yang membuat spesifikasinya sangat mendorong pelanggan untuk mengunduh browser pinggiran yang mengimplementasikan fitur ini. Namun untuk mengaktifkannya mungkin perlu about:config
    Karena basis penggunanya kecil, situs web yang tidak mengikuti standar dapat memakai permintaan agar tidak diserang itu sendiri untuk membuat penusukan dan penembakan lebih presisi
    Pengguna akhir dapat meminta file JSON dari server web yang berisi apakah server mendukung header GAC, tetapi server yang tidak patuh dapat memakai permintaan URL ini untuk menendang gigi pengguna

    • Kini, demi mematuhi regulasi Eropa, sudah menjadi praktik umum untuk menampilkan daftar tindak pidana kekerasan yang ditargetkan secara pribadi yang bisa ditolak pengguna sebelum memakai situs web
      Dengan begitu, tidak menyetujui penusukan selalu menjadi pilihan aktif, dan pengguna yang ingin ditusuk atau dibuat cacat tidak akan secara tidak sengaja melewatkan kesempatan itu
    • Kenapa harus bernilai biner? Bagaimana dengan masokis, orang yang kalah taruhan dan ingin ditusuk sedikit saja, atau orang yang ingin dicekik?
  • Ini terlalu terang-terangan berpihak pada birokrasi UE. Tidak heran Eropa tidak punya perusahaan SaaS besar, karena lingkungan bisnisnya tidak ramah terhadap penusukan

    • Benar, kenapa UE tidak bisa membiarkan industri stabtech menusuk dengan damai saja
    • Menurut saya faktanya keliru. Ada perusahaan seperti Skype, Spotify, Revolut, Zendesk, Transferwise, dan cukup banyak unicorn Eropa yang beroperasi sebagai SaaS
      Jumlahnya memang lebih sedikit daripada perusahaan AS dan China, tetapi sebagian telah diakuisisi atau memindahkan basisnya ke negara lain
  • Dengan harga murah 20 dolar per 1.000 klik, kami akan menyediakan banner persetujuan penusukan yang sepenuhnya mematuhi regulasi penusukan berbasis web UE dan California yang akan segera hadir

    • Saya akan beli. Pembedaan antara penusukan “wajib”, “penargetan”, “kinerja”, dan “fungsional” benar-benar ladang ranjau
      Selain itu, saya juga bingung bagaimana harus mengungkapkan dengan benar 846 broker penusukan yang bekerja sama dengan saya. Dengan birokrasi seperti ini menghalangi, bagaimana orang bisa mencari nafkah dari penusukan?
    • Sebagai catatan, menurut riset, pada banner pesaing pengguna hanya menyetujui penusukan 95% dari waktu, tetapi banner kami membuat penolakan yang benar memakan waktu 50% lebih lama sehingga menghasilkan tingkat persetujuan 98%. Jadi jelas sebaiknya pakai punya kami
  • Situs web ini tampak seperti bagian dari webring yang terdiri dari transgender MtF, furry, orang-orang yang menyatakan diri sebagai robot, dan kombinasi dari semuanya. Sebagian bahkan hanya memakai kata ganti orang ketiga
    Tampaknya semuanya, dalam suatu bentuk, adalah administrator sistem atau programmer
    Bukan kelompok saya, tetapi saya sangat senang melihat pantulan indah internet lama di dalam webring ini

  • Header Do Not Track pertama kali diusulkan pada 2009 oleh peneliti Christopher Soghoian dan Sid Stamm, dan Mozilla Firefox adalah browser pertama yang mengimplementasikan fitur ini
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • Saya penasaran sebenarnya berapa banyak developer web yang menghormati Do Not Track
      Semua situs yang saya buat, termasuk yang saya buat untuk pemberi kerja, mematuhinya. Hanya saja sepertinya itu bisa dilakukan karena pemberi kerja tidak mengetahuinya
      Saat pengguna menjelajah dengan Do-Not-Track aktif, saya membuatnya melewati banner persetujuan cookie dan menganggap mereka tidak menginginkan apa pun selain yang benar-benar diperlukan, seperti cookie sesi dan login
      Saya juga tidak memasang Google Analytics, dan hanya menaikkan counter satu kali tayang halaman tanpa informasi identitas pribadi
    • Pada 2002, ada standar yang jauh lebih canggih bernama P3P yang direkomendasikan W3C. Tampaknya standar ini mendefinisikan format untuk menjelaskan bagaimana perusahaan dapat menggunakan data pribadi
      Namun sepertinya dianggap terlalu rumit dan “kurang daya penegakan”
      Jika bertahan sampai GDPR, mungkin saja ia akan memiliki daya penegakan, tetapi Mozilla sudah menghapus dukungannya sebelum itu
  • Pernyataan bahwa “semua perusahaan benar-benar membenci pengguna” tidak sepenuhnya tepat
    Alih-alih benar-benar membenci pengguna, lebih tepatnya mereka mencintai uang pengguna dan menunjukkan ketidakpedulian yang rusak terhadap pengguna itu sendiri

    • Mereka tidak membenci pengguna, tetapi sedang berusaha memangsa mereka: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • Tidak, mereka mencintai uang yang bisa mereka hasilkan dari pengguna. Tidak ada orang yang saya kenal yang memberi uang langsung kepada mereka
      Strukturnya adalah perusahaan-perusahaan mencurigakan yang mengumpulkan data menjual data tentang pengguna kepada perusahaan-perusahaan mencurigakan lainnya. Dan semua ini disediakan gratis bagi pengguna
    • Saya teringat bagian paruh akhir sketsa ini: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • Sepertinya baru saja menemukan bahwa kapitalisme berbahaya bagi manusia. Siapa sangka
  • Tenang dulu. Organisasi punya banyak pilihan lain. Dukungan untuk Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone juga tetap tidak akan ada, jadi seluruh keluarga tetap bisa menikmatinya

    • robots.txt juga jangan dilupakan
  • Kalau RFC berarti request for comment, ada hal yang selalu membuat saya penasaran. Bagaimana cara meninggalkan komentar, dan siapa yang meninggalkannya?

    • Menurut anekdot yang saya dengar di kelas jaringan komputer di universitas, nama RFC itu diberikan agak seperti lelucon, dan ketika sebuah usulan sudah mencapai tahap RFC, artinya komentar tidak terlalu disambut
      Maksudnya, pendapat harus disampaikan jauh sebelum itu
      Saya tidak tahu apakah anekdot ini benar, tetapi memang RFC biasanya berfungsi seperti keputusan akhir atas standar tersebut
      Dalam praktiknya, setelah RFC mendapat ID, ia tidak bisa diubah atau ditarik kembali, hanya bisa digantikan oleh RFC lain
    • RFC awalnya memang benar-benar permintaan komentar atas ide dan proposal, dan tujuannya adalah memulai percakapan, bukan membuat arsip standar atau praktik terbaik
      Seiring waktu, prosedur penerbitannya menjadi lebih formal dan komunitas yang mengonsumsi materi tersebut membesar, sehingga tujuannya berubah
      Saat ini sudah diterbitkan lebih dari 8.500 RFC, mencakup panduan praktik terbaik, protokol eksperimental, materi informasional, dan tentu saja standar internet
      https://www.rfc-editor.org/rfc/rfc8700.html
      Sekarang, komentar harus disampaikan sebelum mencapai tahap “internet standard”
    • RFC berjalan di bawah IETF. RFC dikembangkan dalam grup tertentu, dan kita bisa berpartisipasi dalam grup itu; pekerjaannya biasanya dilakukan lewat email
      Saat saya dulu ikut, ada juga rapat tatap muka, tetapi kehadiran tidak wajib
    • Tafsir lain adalah “request for compliance”, yaitu permintaan kepatuhan
    • Kita bisa mengirim errata. Mungkin namanya harus diganti menjadi RFE
  • Bukankah header ini pada akhirnya hanya menjadi satu lagi potongan entropi yang dipakai oleh perusahaan-perusahaan yang toh akan tetap menusuk?

    • Jika tidak ada dukungan hukum, benar. Kalau ada, ceritanya akan sangat berbeda
    • Jika penyalahgunaan header dibuat ilegal, maka hanya pihak-pihak ilegal yang akan menusuk pengguna