Die in Chrome 89 eingeführte experimentelle Implementierung der FLoC-Technologie, die von Google entwickelt wurde, um Cookies zu ersetzen, die Bewegungen verfolgen, stieß auf Widerstand in der Community. Nach der Implementierung von FLoC plant Google, die Unterstützung von Drittanbieter-Cookies in Chrome/Chromium, die beim Zugriff auf andere Websites als die Domain der aktuellen Seite gesetzt werden, vollständig einzustellen. FLoC wird bereits stichprobenartig an einem kleinen Prozentsatz der Chrome 90-Benutzer getestet und die Unterstützung für FLoC ist auch in der Chromium-Codebasis enthalten.
Laut Gegnern der FLoC-Implementierung verzichtet diese Technologie nicht vollständig auf die Benutzerverfolgung, sondern ersetzt lediglich eine Art des Targetings durch eine andere und schafft bei dem Versuch, einige Probleme zu lösen, andere. Beispielsweise schafft FLoC Bedingungen für die Diskriminierung von Nutzern aufgrund ihrer Vorlieben und Ansichten.
Reaktion einiger Projekte auf die Integration von FLoC in die Chromium-Codebasis:
- Einer der wichtigsten Entwickler des WordPress-Content-Management-Systems, das etwa 40 % des CMS-Marktes ausmacht, schlug vor, FLoC als Sicherheitsrisiko zu behandeln und die Fähigkeit der Spezifikation zu nutzen, die Verwendung von FLoC zu verbieten und die Erkennung von Benutzerinteressen zu deaktivieren Informationen zu den einzelnen Standorten. Die Abmeldung von FLoC kann auf Seiten der Website aktiviert werden, indem der HTTP-Header „Permissions-Policy: Interest-Cohort=()“ gesetzt wird. Es wird vorgeschlagen, ein ähnliches FLoC-Verbot standardmäßig in allen WordPress-Instanzen zu aktivieren und die Änderungen in einem der Updates zu aktualisieren, um Sicherheitsprobleme zu beseitigen.
Wenn der Vorschlag genehmigt wird, ist FLoC auf allen Websites, die automatisch WordPress-Updates anwenden, standardmäßig deaktiviert. Für diejenigen, die FLoC verwenden möchten, wird eine Option bereitgestellt, um die Übertragung des Headers „Permissions-Policy: Interest-Cohort=()“ zu deaktivieren. Es wird auch vorgeschlagen, ein ähnliches standardmäßiges Verbot von FLoC zur Hauptversion von WordPress 5.8 hinzuzufügen, es ist jedoch für Juli geplant und könnte möglicherweise nicht rechtzeitig für die Masseneinbindung von FLoC erfolgen, sodass die Möglichkeit besteht, FLoC durch ein Zwischenupdate zu deaktivieren wird in Betracht gezogen.
In den Kommentaren waren nicht alle mit der Zweckmäßigkeit der Veröffentlichung eines solchen Updates einverstanden und argumentierten, dass Sicherheitsbedenken nicht mit Bedenken hinsichtlich des Datenschutzes verwechselt werden sollten. Der Missbrauch von Änderungsangeboten automatisch installierter Updates kann zu einem Vertrauensverlust in solche Updates führen.
- Die Entwickler der Browser Vivaldi und Brave Browser weigerten sich, FLoC-Unterstützung in ihren Produkten zu implementieren, mit der Begründung, dass ihre Benutzer ein Recht auf Privatsphäre hätten. Vertreter von Vivaldi wiesen auch darauf hin, dass es sich bei FLoC, um es beim Namen zu nennen, nicht um eine Datenschutztechnologie handelt, wie Google sie zu fördern versucht, sondern um eine Tracking-Technologie, die die Privatsphäre verletzt.
- Die Menschenrechtsorganisation EFF (Electronic Frontier Foundation) hat eine Website amifloced.org gestartet, die es ermöglicht, die Einbindung von FLoC in den Browser zu erkennen, was dem Benutzer die Möglichkeit gibt zu verstehen, ob er am Google-Experiment teilnimmt.
- Die Suchmaschine DuckDuckGo kritisierte FLoC und fügte dem Chrome-Add-on DuckDuckGo Privacy Essentials eine FLoC-Blockierung hinzu und verbot außerdem die Verwendung von FLoC auf der Website duckduckgo.com (DuckDuckGo Search), indem sie den HTTP-Header „Permissions-Policy: Interest-Cohort“ setzte =()“ .
- Microsoft hat noch nicht damit begonnen, FLoC im Edge-Browser zu aktivieren, hat eine abwartende Haltung eingenommen und versucht, seine eigene Technologie zur Präferenzverfolgung PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency) zu entwickeln. Das Wesentliche von PARAKEET ist die Verwendung eines Proxyservers, der zwischen dem Benutzer und dem Werbenetzwerk liegt. Dem Benutzer wird eine eindeutige Kennung zugewiesen, Informationen über ihn werden jedoch nur von einem Proxy empfangen, der nur einen begrenzten Satz anonymisierter Informationen an das Werbenetzwerk übermittelt.
- Mozilla und Opera haben keine Pläne, FLoC-Implementierungen zu ihren Produkten hinzuzufügen. Apple hat noch keine endgültige Entscheidung bezüglich der Implementierung von FLoC in Safari getroffen.
- Der uBlock-Werbeblocker deaktiviert FLoC-Anfragen jetzt standardmäßig. Eine ähnliche FLoC-Blockierung wurde den Add-ons Adguard und Adblock Plus hinzugefügt.
Erinnern wir uns daran, dass die FLoC-API (Federated Learning of Cohorts) darauf ausgelegt ist, die Kategorie der Benutzerinteressen ohne individuelle Identifizierung und ohne Bezug auf den Verlauf des Besuchs bestimmter Websites zu bestimmen. Mit FLoC können Sie Gruppen von Benutzern mit ähnlichen Interessen identifizieren, ohne einzelne Benutzer zu identifizieren. Benutzerinteressen werden mithilfe von „Kohorten“ identifiziert, kurzen Bezeichnungen, die verschiedene Interessengruppen beschreiben. Kohorten werden auf der Browserseite berechnet, indem Algorithmen des maschinellen Lernens auf Browserverlaufsdaten und Inhalte angewendet werden, die im Browser geöffnet werden. Die Angaben verbleiben auf der Seite des Nutzers und es werden nur allgemeine Kohorteninformationen nach außen übermittelt, die Interessen widerspiegeln und die Einblendung relevanter Werbung ohne Tracking eines bestimmten Nutzers ermöglichen.
Hauptrisiken im Zusammenhang mit der Implementierung von FLoC:
- Diskriminierung basierend auf Benutzerpräferenzen. Job- und Kreditangebote können beispielsweise je nach ethnischer Zugehörigkeit, Religion, Geschlecht und Alter variieren. Benutzer mit Geldmangel könnten gezielt für Kredite mit überhöhten Zinssätzen angegriffen werden, und die gezielte Ausrichtung auf Demografie und politische Präferenzen kann genutzt werden, um Desinformationen glaubwürdiger zu machen. Mit FLoC folgen Verhaltensinformationen dem Benutzer von Site zu Site und frühere Aktivitätsdaten können verwendet werden, um den Benutzer beim Öffnen von Sites zu manipulieren.
- Es ist möglich, Ihren Browserverlauf anhand von Kohortendaten zurückzuentwickeln. Durch die Analyse des Algorithmus zur Kohortenzuordnung können wir ungefähr beurteilen, welche Websites der Benutzer wahrscheinlich besucht hat. Auch lassen sich anhand von Kohorten Rückschlüsse auf Alter, sozialen Status, Geschlechtsorientierung, politische Präferenzen, finanzielle Schwierigkeiten oder erlebtes Unglück ziehen.
- Das Auftauchen eines zusätzlichen Faktors zur verdeckten Identifizierung des Browsers des Nutzers („Browser-Fingerprinting“). Obwohl FLoC-Kohorten Tausende von Menschen abdecken, können sie in Kombination mit anderen indirekten Daten wie Bildschirmauflösung, Liste der unterstützten MIME-Typen und spezifischen Parametern in Headern (HTTP/2 und HTTPS) zur Verbesserung der Genauigkeit der Browseridentifizierung verwendet werden. , installierte Plugins und Schriftarten, Verfügbarkeit bestimmter Web-APIs, grafikkartenspezifische Rendering-Funktionen mit WebGL und Canvas, CSS-Manipulationen, Funktionen zum Arbeiten mit Maus und Tastatur.
- Bereitstellung zusätzlicher personenbezogener Daten für Tracker, die Benutzer bereits identifizieren. Wenn beispielsweise ein Benutzer identifiziert und in seinem Konto angemeldet ist, kann der Dienst die in einer Kohorte angegebenen Präferenzdaten explizit mit einem bestimmten Benutzer abgleichen und bei Kohortenänderungen die Änderung der Präferenzen verfolgen.
Darüber hinaus ist festzuhalten, dass Vertreter der Werbebranche parallel andere alternative Identifizierungsmethoden entwickeln, mit denen Benutzer verfolgt werden können, wenn Cookies von Drittanbietern in Chrome blockiert werden. Beispielsweise schlug das Unternehmen The Trade Desk die UID2-Technologie (Unified Identifier) vor, die einen Benutzeridentifizierungsmechanismus implementiert, der in Zusammenarbeit mit Websitebesitzern funktioniert. Die UID2-Kennung wird auf der Grundlage der vom Benutzer bei der Registrierung auf der Website bereitgestellten Informationen generiert, z. B. E-Mail-Adresse, Telefonnummer oder Kontoinformationen für soziale Netzwerke. Basierend auf der UID2-Inhaltsverschlüsselung erstellt der Infrastrukturkoordinator ein Token, das der Websitebesitzer an Werbenetzwerke übertragen kann. Autorisierte Werbenetzwerke können die Schlüssel zum Entschlüsseln des Tokens und die ursprüngliche UID2 erhalten, die zum Erstellen eines Gesamtbenutzerprofils verwendet werden kann, das Informationen von verschiedenen Standorten zusammenfasst.
Source: opennet.ru