Pikirkan Anak-Anak: Cara Memaksakan Real ID pada Seluruh Lalu Lintas Internet (2023)

 (nochan.net)
1 poin oleh GN⁺ 4 jam lalu | 1 komentar | Bagikan ke WhatsApp
  • Dengan dalih verifikasi usia dewasa, tuntutan unggah kartu identitas dan dokumen dapat berujung pada basis data komersial terpusat, lalu meluas dari situs dewasa menjadi pelacakan nama asli di seluruh internet
  • Sudah ada alternatif berfriksi rendah seperti ICRA PICS dan RTA Header, dan RTA memungkinkan browser, mesin pencari, serta crawler mendeteksi kemungkinan konten dewasa hanya dengan menambahkan satu baris pada halaman web atau header HTTP
  • Skenario dalam tulisan ini menggambarkan legislasi tingkat negara bagian yang berlanjut ke hukum federal dan penyebaran ke luar negeri, lalu kerangka pelacakan diperluas ke media sosial, keuangan, perdagangan, messenger, hingga platform game
  • Sebagai sarana penegakan global, dibahas kemungkinan pemblokiran halaman tanpa tanda tangan Web Environment Integrity (WEI), serta integrasi dengan kartu kredit, identitas negara bagian, TPM, dan Secure Boot
  • Alternatif yang diusulkan adalah mewajibkan operator situs menambahkan header RTA dalam 1 tahun, lalu browser dan klien web bawaan membacanya untuk mengaktifkan kontrol orang tua, diterapkan mulai anak di bawah 13 tahun per 2034

Risiko yang Diciptakan Basis Data Verifikasi Dewasa

  • Beberapa negara bagian dan satu negara telah menerapkan basis data komersial terpusat yang mewajibkan unggah identitas negara bagian dan dokumen untuk membuktikan status dewasa saat login ke situs web dewasa
  • Kekhawatiran utamanya adalah bahwa pendekatan ini tidak akan berhenti pada konten dewasa, melainkan dapat berkembang menjadi infrastruktur yang menghubungkan identitas asli dan informasi keuangan ke seluruh penggunaan internet
  • Kalangan politik digambarkan menyesali secara terlambat keputusan membiarkan internet tetap bebas dan terbuka, serta harus membujuk perusahaan teknologi agar secara sukarela mengembalikan kendali
  • Pada akhirnya, ini diperingatkan sebagai cara untuk merebut kembali kendali atas internet dengan pola yang menguntungkan pemerintah dan mitra korporatnya

Alternatif Berfriksi Rendah yang Sudah Ada: ICRA PICS dan RTA

  • Di masa lalu, browser dan add-on dapat mendeteksi konten dewasa dan konten buatan pengguna melalui standar lama
  • Pendekatan ini nyaris tidak membebani pengembang klien maupun operator server web, dan menempatkan tanggung jawab pengelolaan apa yang dapat dilihat anak pada orang tua
  • Contoh kode di yt-dlp ditunjukkan sebagai contoh implementasi yang mencari header RTA

  • ICRA PICS Headers

    • ICRA PICS adalah upaya awal untuk membuat web lebih aman bagi anak-anak
    • Beberapa browser, alat pihak ketiga, dan server web mengadopsinya
    • Karena harus membuat header melalui formulir web yang menjelaskan secara rinci jenis konten di situs, friksinya tinggi dan adopsinya mandek

  • RTA Header

    • RTA Header adalah upaya kedua yang lebih sederhana dan digunakan lebih luas
    • Operator situs cukup menambahkan satu header sederhana ke halaman web atau header HTTP, dan browser, mesin pencari, serta crawler dapat langsung mengetahui bahwa situs tersebut mungkin tidak cocok untuk anak-anak
    • Contoh directive HTML adalah sebagai berikut
    <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
    • Contoh header HTTP NGinx adalah sebagai berikut
    add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
    • Di HAProxy dapat dikonfigurasi seperti berikut
    http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
    • Ini adalah pendekatan yang sederhana untuk dikonfigurasi di server, load balancer, maupun aplikasi, dan hampir tidak memerlukan biaya
    • Pekerjaan yang tersisa adalah memasukkan kembali kode klien ke browser, serta menambahkannya ke ponsel dan tablet
    • Dipandang bisa diimplementasikan oleh sebagian besar pengembang, perusahaan, dan organisasi dengan sedikit usaha dan biaya, bahkan sebagai side project cepat

Skenario Penyebaran Basis Data Pelacakan

  • Tulisan ini membedakan alur berikut sebagai teori dan perkiraan terbaik
    • Tahap 1: dilobi kepada politisi konservatif, lalu diterima sebagai kebijakan yang sesuai dengan nilai keluarga dan keyakinan pemilih
    • Tahap 2: jika cukup banyak negara bagian konservatif mengadopsi hukum yang mewajibkan basis data, maka pembenaran hukum federal menjadi lebih mudah
    • Tahap 3: pendapatan mulai dihasilkan
    • Tahap 4: jika hukum federal AS mewajibkan pelacakan, negara lain juga akan ikut untuk menghindari sanksi atau denda
    • Tahap 5: setelah kerangka pelacakan terbentuk, persyaratan itu juga akan diterapkan pada media sosial seperti Facebook, X, dan Instagram
    • Tahap 6: dapat meluas ke bank, toko online, bursa kripto, pemungutan suara, sistem chat online, Signal, WhatsApp, Slack, Discord, IRC, Hacker News, konten kontribusi pengguna, situs jenis chan, YouTube, Rumble, TikTok, serta platform game seperti Steam, Battle.net, dan Minecraft
    • Tahap 7: pendapatan yang lebih besar dan pelacakan skala massal pun terjadi
  • Jika data seperti ini terkumpul di satu tempat, ia dapat menarik pelaku jahat di internet
  • Tidak ada jaminan, dengan nada sinis, bahwa data tidak akan bocor secara tidak sengaja dari bucket S3 atau dijual

Potensi Penegakan Global dan Monetisasi

  • Penegakan global secara teoritis dimungkinkan jika semua browser web memblokir halaman web tanpa tanda tangan Web Environment Integrity (WEI)
  • Arah ini dapat terhubung dengan kartu kredit, identitas negara bagian, dan modul TPM
  • Jika Tor Browser mengimplementasikan WEI, hal itu dinilai berpotensi juga berlaku pada situs Tor .onion
  • Jika semua pengguna harus login ke semua situs web dengan ID nama asli dan informasi keuangan, situs dapat membuat penjualan dan penagihan jauh lebih mudah
  • Juga diperkirakan akan ditambahkan tombol pembelian melalui situs verifikasi ID, dengan situs verifikasi tersebut mengambil biaya komisi
  • Bahkan dapat disediakan fitur kemudahan yang langsung memetakan akun ke rekening giro untuk menghindari chargeback
  • Terdapat pula kekhawatiran bahwa vendor dan pembaruan OS dapat mengunci Secure Boot, sehingga memblokir OS yang tidak ikut serta dalam verifikasi usia atau ID pihak ketiga

Kekhawatiran atas Dampak Sosial

Potensi Penyalahgunaan dan Keterbatasan Header RTA

  • Jika seseorang dapat menyisipkan header RTA ke halaman web, hal itu dianggap mengisi kekosongan header yang seharusnya dipasang operator situs
  • Sebagian remaja mungkin dapat melewati pembatasan
  • Pendekatan ini tidak sempurna, tetapi dinilai lebih baik daripada cara yang ada sekarang atau yang sedang diimplementasikan
  • Posisi yang diambil adalah bahwa situasi remaja yang bisa melewati header lebih baik daripada situasi memulai hidup dengan mencuri kartu kredit atau memalsukan ID untuk memakai basis data terpusat dan memperoleh riwayat kriminal

Mengapa RTA Diperlukan untuk Konten Buatan Pengguna

  • Konten buatan pengguna dapat berubah seketika menjadi konten yang tidak cocok untuk anak-anak
  • Hanya orang dewasa yang telah cukup umur yang dapat membuat kontrak dan menerima perjanjian yang dapat ditegakkan secara hukum
  • Jika ada konten untuk orang dewasa, maka anak harus bersama orang tua atau wali hukum, atau domain maupun URL yang diizinkan orang tua harus dimasukkan ke daftar yang disetujui
  • Disertakan pula catatan bahwa ini bukan nasihat hukum, dan pengacara pun bisa keliru, sehingga perlu meminta banyak pendapat dan menantangnya

Rencana Implementasi yang Diusulkan

  • Masyarakat harus menghubungi perwakilan negara bagian dan federal untuk menuntut metode verifikasi usia yang lebih sederhana dan lebih sedikit melanggar privasi
  • Pertama, semua operator dan pemilik situs web harus diwajibkan mengimplementasikan header RTA dan diberi waktu 1 tahun
    • Implementasinya dipandang hanya memerlukan beberapa menit
  • Kedua, user agent bawaan seperti browser dan klien web harus mendeteksi header RTA dan mengaktifkan kontrol orang tua
    • Selain QA, ini dipandang sebagai pekerjaan pengembangan kurang dari satu hari
    • Periode implementasi yang diusulkan adalah 1 tahun
    • Akun default baru yang dibuat setelah akun administrator harus menjadi akun anak yang memakai kontrol orang tua, kecuali kata sandi administrator dimasukkan
  • Ketiga, buat kontrak dengan perusahaan CDN dan web scraping untuk memverifikasi apakah situs memiliki header RTA
  • Keempat, buat undang-undang agar kontrol orang tua diaktifkan untuk semua anak di bawah 13 tahun per 2034
  • Kelima, karena remaja saat ini semuanya akan menjadi dewasa pada 2034, mereka tidak akan terdampak jika pendekatan ini dijalankan dengan benar
    • Ini menciptakan sliding window waktu sehingga hanya remaja masa depan yang terdampak
    • Posisi yang diambil adalah bahwa tanggung jawab atas anak ada pada orang tua, bukan pemerintah
  • Keenam, perusahaan yang menentang pendekatan ini atau melobi opsi lain harus diputus pendanaannya secara hukum, dan politisi yang menentangnya harus dikenai teguran serta pada akhirnya pemecatan, demikian klaim yang diajukan
  • Jika informasi identitas pribadi harus diunggah, pusat data yang terkait langsung maupun tidak langsung harus mengikuti persyaratan teknis dan audit yang lebih ketat daripada gabungan PCI DSS dan Fedramp
    • Perangkat IoT, laptop pengembang, DEV/QA, performa, staging, hingga production, semuanya harus masuk cakupan
    • Jika itu terlalu sulit, kesimpulannya adalah jangan menyentuh informasi identitas pribadi dan gunakan header RTA/dewasa saja

Rekomendasi untuk CTO dan CSO

  • Jangan menunggu sampai ini menjadi undang-undang lalu menghadapi reaksi balik dan kegagalan; implementasikan header RTA di situs
  • Browser harus dapat memeriksa header untuk melindungi orang tua dan anak
  • Melalui implementasi seperti ini, perusahaan dapat mengatakan bahwa mereka selangkah lebih maju daripada yang lain

Bacaan terkait

1 komentar

 
GN⁺ 4 jam lalu
Pendapat Hacker News

  • Apa garis pertahanan terakhir? Mungkin dengan membangun jaringan relay nirkabel bawah tanah di dalam kota agar komputer bisa terhubung langsung satu sama lain, men-seed konten bajakan dari sana, dan membicarakan apa pun yang diinginkan
    Saat terhubung ke jaringan di luar kota, mungkin harus memakai radio dengan panjang gelombang lebih panjang dan memantulkannya lewat ionosfer agar bisa mencapai belahan bumi seberang, jadi bandwidth-nya bisa rendah
    FCC mungkin tidak akan terlalu peduli. Node akan dipasang di atap gedung terbengkalai, di depan kantor lapangan FCC setempat, di tengah hutan, atau di atas pelampung di laut
    Mungkin akan tertangkap atau mengalami hal yang lebih buruk, tapi toh kita juga tidak akan hidup selamanya
    Jika masih ada hacker sungguhan yang tersisa di Hacker News, semoga mereka mau meninjau ide ini dan mengembangkan bagian teknisnya. Tidak bisa menerima masa depan di mana semua komunikasi diverifikasi identitasnya dan disensor
    Itulah tujuan akhir mereka, dan itu harus dihentikan. Ini mungkin pertarungan yang lebih besar daripada perang-perang ketika kekuasaan membuat kita melawan antek kekuasaan lain, karena untuk pertama kalinya dalam sejarah peradaban kita justru berjuang demi hak kita sendiri

    • Garis pertahanan terakhir selalu mengganti pemerintah. Jika sudah sampai harus bergantung pada cara teknis, berarti sebenarnya kita sudah kalah
    • Semua orang, terutama generasi muda, menurutku harus benar-benar mempelajari teknik hacking ofensif
      Aku bahkan akan mengajarkan anak-anakku cara mengeksploitasi dan menghancurkan sistem komputer musuh
      Ini setara dengan Amandemen Kedua di ruang internet. Kita harus bisa menyelidiki, membongkar, dan men-debug segala hal tentang sistem komputer, dan juga punya pengetahuan untuk meruntuhkannya jika sistem atau pemiliknya mulai bertindak salah
      Jika seluruh populasi memutuskan untuk melawan tirani pemerintah hanya dengan Kali Linux, hampir semua masalah yang berkaitan dengan sistem komputer bisa diselesaikan
    • Kurasa tidak ada trik teknis ajaib yang bisa menjadi jalan pintas untuk politik
    • Buat saja tunnel IPSec antar peer/teman tepercaya untuk membangun internet tepercaya mereka sendiri di dalam internet. Dengan begitu semuanya hanya terlihat seperti LAN
      Tidak tahu seberapa baik ini bisa diskalakan, tapi jelas jauh lebih mudah daripada membereskan segala akal-akalan nirkabel. Dari pengalaman, sisi nirkabel cukup rutin ditertibkan oleh FCC atau regulator negara lain
    • Itu sebenarnya sudah bisa dilakukan, namanya Reticulum
      Pada dasarnya ini adalah internet/jaringan terenkripsi yang berjalan di atas jaringan apa pun, termasuk LoRa
      Masalahnya adalah ukuran komunitas dan apakah koneksinya cukup saling terhubung untuk benar-benar menyediakan internet atau mengekspos layanan publik

  • Untuk menambah daftar, ada juga regulasi dan praktik ala KYC/AML yang tidak terbatas pada keuangan. Ini mendorong tanggung jawab ke bagian paling bawah rantai, ke area yang sulit dimintai pertanggungjawaban, dan pada akhirnya menghasilkan penghindaran risiko yang preventif dan terlalu luas, sensor diri, serta manipulasi jendela Overton
    Misalnya, bandingkan DMCA dan praktik YouTube, lalu tindakan yang dipilih kanal-kanal nyata untuk menghindari keduanya. Hal yang sama juga berlaku untuk algospeak atau situasi PayPal yang disebut dalam tulisan itu
    Tapi semuanya cuma omongan. Tekanan politik seperti tekanan gas: ia akan mengisi seluruh volume yang tersedia. Bukan omongan di web, melainkan apa yang benar-benar dilakukan itulah yang menentukan volume yang tersedia. Jika tidak melakukan apa-apa, volumenya jadi tak terbatas

    • Tinggal bangun ulang pemerintah dari nol
      Lakukan version control pada hukum, bandingkan dengan hukum dari semua negara lain, dan timbun datanya
      Tulis kode yang menggantikan pegawai pemerintah dan mempermudah penegakan hukum. Kalau dibuat dengan baik, bahkan bisa dijual sebagai produk atau layanan
      Buat semuanya modular agar sistem lama bisa mencurinya
      Orang-orang harus diajak ikut. Kalau perlu membuat simulasi dan meyakinkan mereka bahwa itu permainan, juga tidak masalah
      Kalau seluruh pekerjaan ini dianggap sebagai penulisan kode, mudah membayangkan diri sendiri sangat cocok untuk mengerjakannya
      Aku belajar bahwa orang-orang dari berbagai kecenderungan politik menyukai gagasan pajak sukarela, tetapi tak seorang pun percaya itu benar-benar bisa berjalan
      Jika seluruh sistem bisa berjalan hanya dengan donasi, relawan, dan beberapa perusahaan “milik negara”, maka hot swap menjadi tak terelakkan

  • Aku penasaran kenapa kode rating itu begitu rumit. Pornhub.com mengaktifkan kode itu, tetapi juga memakai yang lebih sederhana, dan 4chan juga memakai yang belakangan

    • Aku tidak menemukan penjelasan di https://rtalabel.org/ tentang mengapa harus memakai string tertentu itu, tetapi bagus juga karena string-nya unik sehingga lebih mudah menemukan situs resminya dibanding kata umum seperti “adult”
    • Mungkin karena, berlawanan dengan niat regulasi, itu membuat orang berhenti menyediakan konten tanpa rating
      Hal serupa memang pernah terjadi: “Sesame Scheme: Unintended Consequences of Allergen Food Labeling”( https://news.ycombinator.com/item?id=44074487 )
    • Menurutku kode klien seharusnya cukup mudah untuk mencari salah satu dari keduanya
    • Mungkin karena keunikan. Kode ini ditetapkan sebagai standar yang sangat spesifik, sedangkan adult bisa berarti hampir apa saja

  • Solusi sederhananya adalah memblokir yang perlu diblokir di router dan mengelola perangkat anak-anak. Dengan begitu internet tetap bebas dan terbuka
    Sebenarnya ini sedang membicarakan apa? Rasanya tidak mungkin berakhir baik

    • Tujuan utamanya adalah mendapatkan kendali atas trafik internet. Pendekatan yang harus diimplementasikan sendiri tidak akan berhasil. Karena mereka tidak bisa mengendalikan semua orang, mereka juga tidak bisa mengendalikan bagaimana orang mengimplementasikannya
      Frasa “demi anak-anak” di judul itu bukan sungguh-sungguh, melainkan lebih seperti sindiran
    • Kalian pasti tahu kita sedang membicarakan apa. Itu tertulis di buku itu
    • Jadi kalian ingin merancang internet agar kalian bisa melakukan serangan man-in-the-middle terhadap trafik?

  • Dua puluh tahun sebelumnya, ada juga “The Digital Imprimatur”: <https://www.fourmilab.ch/documents/digital-imprimatur/>

  • Harus ada cara untuk membuktikan bahwa seorang pengguna adalah manusia dan sudah melewati usia tertentu tanpa harus mengidentifikasi pengguna itu sebagai manusia yang spesifik

    • Usulan seperti ini pernah ada. Caranya adalah memakai kontainer data terenkripsi yang memungkinkan pengguna memberi izin agar aplikasi hanya memakai data yang dibutuhkan, tetapi ide itu terseret ke Web3 dan menghadapi penolakan publik yang kuat di tengah hype Crypto dan NFT
      https://www.w3.org/2023/Talks/0727-wearedevelopers-tbl/solid...
      Sekarang peralihannya ke AI, dan pada akhirnya para politisi membuat verifikasi usia yang buruk lewat implementasi yang mereka tulis ke dalam undang-undang
    • Ini tugas yang mustahil. Jika ada operator yang ingin mewajibkan ID manusia, biarkan saja mereka melakukannya. Pemerintah tidak boleh memaksakannya
      Mereka bisa mengendalikan router mereka sendiri dan perangkat anak mereka sepenuhnya, jadi mulailah dari sana. Itu bukan tanggung jawab orang lain
    • Memastikan apakah seseorang itu manusia lebih sulit lagi. Memastikan bahwa seseorang sudah melewati usia tertentu mungkin saja bisa dilakukan seiring waktu jika sebagian besar perangkat dan browser yang diakses anak-anak memeriksa header RTA/adult dan mengaktifkan kontrol orang tua
      Ini tidak akan selesai dalam semalam, jadi memang tidak sempurna, tetapi kesempurnaan adalah musuh dari yang baik
      Menurut saya, cara yang ada sekarang tidak baik. Cara saat ini membahayakan informasi identitas anak-anak maupun orang dewasa. Anak-anak juga tidak bisa menyetujui pembagian data seperti ini, jadi satu-satunya orang yang bisa melindungi mereka adalah orang tua
    • Dalam jangka panjang, hal seperti ini tampaknya akan datang. Semua situs memasang sesuatu seperti CAPTCHA Cloudflare untuk memblokir bot scraper AI. Pada akhirnya mungkin akan dibutuhkan token yang hanya diterbitkan untuk manusia sungguhan
    • https://zkpassport.id/

  • Perlu diingat bahwa setelah kemunculan AI, perusahaan iklan tidak lagi yakin mana lalu lintas yang nyata, jadi mereka mendorong ini lewat lobi. Mengikat semua traffic ke ID pemerintah akan menyelesaikan masalah itu

  • Harus dibuat undang-undang yang membuat perusahaan yang memakai verifikasi usia atau verifikasi ID pihak ketiga memikul tanggung jawab hukum penuh atas data tersebut
    Jika datanya bocor, mereka harus membayar 1 juta dolar per orang yang terdampak, tanpa peduli bagaimana atau mengapa kebocoran itu terjadi
    Jika 300 identitas bocor atau dijual, itu berarti 300 juta dolar di luar hukuman pidana. Jika itu membuat mereka bangkrut, berarti sistemnya bekerja sebagaimana dimaksud. Itu berarti perusahaan seperti itu tidak layak menjadi penjaga data ini, apalagi penjaga anak-anak

    • Terlalu berlebihan? Kalau begitu, jangan kumpulkan datanya sejak awal, dan dengan asumsi para pembuat undang-undang sadar dan mulai benar-benar memikirkan anak-anak, cukup gunakan header RTA dan klien yang memeriksa header tersebut
    • LLC saya yang cuma menyisakan saldo 0 dolar di pembukuan bakal celaka nih
    • Discord memakai pihak ketiga, dan vendor itu seharusnya menghapus ID yang diterima, tetapi tidak melakukannya dan akhirnya datanya bocor

  • Saya hampir yakin anonimitas akan hilang, tetapi pada saat yang sama alasan-alasan tertentu masih akan tetap didukung oleh akun bot dalam jumlah besar

  • Perang ini sebenarnya sudah kalah saat kita tertipu untuk memasukkan V-Chip ke TV
    Kesepakatan yang jelas seharusnya begini. Karena orang-orang yang khawatir sudah diberi alat untuk memblokir secara eksplisit, maka seharusnya segala macam ujaran ofensif dan pilihan porno di siaran terbuka diizinkan
    Tentu saja, “mencabut colokan TV saat orang tua tidak ada” juga sudah merupakan alat yang bisa dipakai
    Tapi kita tidak pernah mendapat imbalan itu
    Saya penasaran seberapa besar ini terjadi karena kelompok “siapa yang tidak akan memikirkan anak-anak” itu sendiri berisik secara politik dan layak didekati, dan seberapa besar karena perusahaan-perusahaan dengan tujuan yang lebih buruk telah membesarkannya sebagai jalur masuk
    Misalnya, penyedia sosial komersial sangat ingin mendapatkan kekebalan hukum agar bisa menghindari akrobat kepatuhan COPPA, dan mereka juga punya insentif pada informasi demografis terverifikasi yang diberikan oleh pembuktian usia