Draf W3C TAG: "Cookie pihak ketiga harus dihapus dari web"

 (w3ctag.github.io)
4 poin oleh GN⁺ 2025-05-03 | 1 komentar | Bagikan ke WhatsApp
  • Cookie pihak ketiga (third-party) dianggap sebagai teknologi yang sangat melanggar privasi individu, sehingga harus dihapus dari platform web
  • Sesuai prinsip desain web yang berpusat pada privasi, beberapa browser telah menerapkan pemblokiran cookie pihak ketiga, dan semua browser harus ikut serta
  • Fungsi-fungsi berguna yang selama ini bergantung pada cookie, seperti login, autentikasi, dan pelacakan iklan, harus digantikan dengan teknologi baru yang berorientasi tujuan
  • Teknologi pengganti wajib dievaluasi, baik secara individual maupun dengan mempertimbangkan interaksinya dalam keseluruhan ekosistem web
  • Standar web harus tetap netral agar memperkuat privasi tanpa terikat pada model bisnis tertentu

Third Party Cookies Must Be Removed

  • Cookie pihak ketiga melacak informasi pengguna web lintas situs dan berfungsi sebagai elemen pelanggaran privasi
  • Dokumen ini merupakan dokumen konsensus dari W3C Technical Architecture Group (TAG) yang menjelaskan alasan penghapusan cookie pihak ketiga dan kebutuhan akan teknologi pengganti

1. Introduction

  • Privasi web adalah prinsip desain inti, dan berbagai dokumen serta alat berupaya menjaminnya
  • Beberapa browser sudah memblokir cookie pihak ketiga, tetapi dibutuhkan respons yang konsisten dari semua browser
  • Penghapusannya tidak sederhana, dan diperlukan pertimbangan teknis untuk mempertahankan fungsi yang ada

2. Why remove third party cookies?

  • Cookie awalnya dirancang untuk mengenali pengunjung situs, tetapi kemudian penggunaannya meluas ke pelacakan, iklan, pencegahan penipuan, dan lainnya
  • Cookie pihak ketiga adalah teknologi inti jaringan pelacakan, yang mengumpulkan dan membagikan data tanpa sepengetahuan pengguna
  • Sentralisasi semacam ini dapat menimbulkan hambatan inovasi dan masalah penghindaran tanggung jawab
  • Pelanggaran privasi juga berkaitan dengan kebebasan berekspresi, kesehatan komunitas, dan melemahnya kendali pengguna

3. Use cases previously met by third-party cookies

  • Login, single sign-on, pemberian izin akses ke sumber daya lintas situs, dan deteksi penipuan saat ini bergantung pada cookie pihak ketiga
  • Pengukuran dan penargetan iklan juga demikian, sehingga teknologi pengganti harus memenuhi kebutuhan ini
  • API baru dapat memiliki kemungkinan pelacakan ketika digabungkan, sehingga diperlukan desain dan pengawasan yang hati-hati

4. Leaving the web better than we found it

  • Usulan teknologi baru harus membuktikan dengan jelas bahwa teknologi tersebut tidak merusak privasi
  • Secara khusus, usulan yang terkait dengan profiling, pengenalan pengguna, dan berbagi data lintas konteks disarankan untuk melalui peninjauan independen
  • Browser dan situs tidak boleh melakukan tindakan yang melewati atau melemahkan perbaikan ini
  • Ekosistem web harus netral terhadap model bisnis, dan tidak boleh secara struktural menanamkan model pendapatan tertentu
  • Kesimpulannya, diperlukan penerapan teknologi pengganti yang hati-hati agar tidak menjadi sarana baru untuk mempertahankan teknologi pengawasan yang lama

Bacaan terkait

1 komentar

 
GN⁺ 2025-05-03
Opini Hacker News

  • Tulisan ini terasa sangat aneh, dan dipertanyakan apakah ini benar-benar bagian dari proses kerja W3C

    • Bab 2: menunjukkan bahwa cookie pihak ketiga itu buruk
    • Bab 3: menyebut ada kasus penggunaan yang sah untuk cookie pihak ketiga, sekaligus memperingatkan bahwa teknologi baru dapat digabungkan untuk melacak pengguna
    • Bab 4: berargumen bahwa teknologi baru pada platform web dapat memperburuk masalah cookie pihak ketiga, sehingga hal ini harus segera diselesaikan
    • Karena tidak terlalu memahami konteks budaya W3C, diduga dokumen ini mungkin merupakan draf yang nantinya akan dirapikan

  • "Teknologi pengganti" sudah sedang disusun, dan ini akan ditambahkan di atas cookie pihak ketiga

    • Menurut riset Google, penghapusan cookie pihak ketiga menurunkan pendapatan, sementara pelacakan yang "melindungi privasi" meningkatkan pendapatan
    • Karena itu, keduanya akan digunakan

  • Kasus penggunaan yang sah untuk cookie pihak ketiga adalah mempertahankan sesi pada satu situs logis yang tersebar di beberapa domain

    • Penasaran apakah ada contoh lain
    • Secara pribadi berharap cookie pihak pertama pun tidak bisa digunakan dalam konteks pihak ketiga
    • Lebih memilih cookie dihapus sepenuhnya, dan status dilacak menggunakan sertifikat klien

  • Jika cookie pihak ketiga dihapus, pelacak akan meminta situs web menyertakan skrip agar cookie menjadi "pihak pertama"

    • Dibutuhkan perlindungan yang mencegah pelacakan itu sendiri, bukan hanya metode pelacakannya

  • Masalah cookie hanyalah hiasan luar; jika JavaScript diaktifkan, pelacakan tetap dimungkinkan meski tanpa cookie

    • Spesifikasi web perlu lebih banyak upaya agar pengguna tidak bisa dilacak bahkan saat JavaScript aktif
    • Browser seperti Brave dan Firefox tidak melakukan apa pun soal ini
    • Dipertanyakan apakah untuk privasi sejati harus menggunakan browser dengan JavaScript dinonaktifkan

  • Google tidak akan mengimplementasikan spesifikasi ini

    • Saat ini hal itu tidak diizinkan secara hukum, dan para pengiklan mengklaim mereka tidak bisa bersaing tanpa cookie pihak ketiga
    • Google memperluas Privacy Sandbox dan membatalkan rencana pemblokiran

  • Contoh kasus penggunaan yang membutuhkan solusi khusus tujuan mencakup identitas federasi, pemberian izin akses sumber daya lintas situs, dan pencegahan penipuan

    • Dikatakan tidak ada cara yang menjamin privasi untuk pencegahan penipuan
    • Harus menerima penipuan sebagai biaya bisnis atau mengorbankan privasi

  • Selama Google mengendalikan Chrome, diskusi ini hampa

    • Bahkan jika regulator memaksa Google menjual Chrome, tidak diharapkan pemilik baru akan menghasilkan hasil yang lebih baik

  • Selalu memblokir cookie pihak ketiga, dan satu-satunya masalah hanyalah beberapa video tersemat di halaman web tertentu tidak bisa diputar

  • Jika cookie pihak ketiga dihapus tanpa cara pengganti, fingerprinting yang agresif akan menjadi hal umum