Lanzada en Chrome 89, la implementación experimental de la tecnología FLoC, desarrollada por Google para reemplazar las cookies que rastrean los movimientos, encontró resistencia por parte de la comunidad. Después de implementar FLoC, Google planea dejar de admitir por completo cookies de terceros en Chrome/Chromium que se configuran al acceder a sitios distintos al dominio de la página actual. FLoC ya se está probando aleatoriamente en un pequeño porcentaje de usuarios de Chrome 90, y la compatibilidad con FLoC también se incluye en el código base de Chromium.
Según quienes se oponen a la implementación de FLoC, esta tecnología, en lugar de abandonar por completo el seguimiento de usuarios, sólo reemplaza un tipo de segmentación por otro y, al intentar resolver algunos problemas, crea otros. Por ejemplo, FLoC crea condiciones para la discriminación de los usuarios en función de sus preferencias y puntos de vista.
Reacción de algunos proyectos a la integración de FLoC en el código base de Chromium:
- Uno de los principales desarrolladores del sistema de gestión de contenidos WordPress, que representa aproximadamente el 40% del mercado de CMS, sugirió tratar FLoC como un riesgo de seguridad y aprovechar la capacidad de la especificación para prohibir el uso de FLoC y desactivar la detección del interés del usuario. información para sitios individuales. La opción de no participar en FLoC se puede activar en el sitio configurando el encabezado HTTP "Política de permisos: cohorte de intereses =()". Se propone habilitar una prohibición de FLoC similar de forma predeterminada en todas las instancias de WordPress y actualizar los cambios en una de las actualizaciones para eliminar problemas de seguridad.
Si se aprueba la propuesta, todos los sitios que apliquen automáticamente actualizaciones de WordPress tendrán FLoC desactivado de forma predeterminada. Para aquellos que deseen utilizar FLoC, se proporcionará una opción para deshabilitar la transmisión del encabezado "Permissions-Policy: interest-cohort=()". También se propone agregar una prohibición similar de FLoC de forma predeterminada a la versión principal de WordPress 5.8, pero está programada para julio y puede que no llegue a tiempo para la inclusión masiva de FLoC, por lo que se descarta la posibilidad de deshabilitar FLoC mediante una actualización provisional. está siendo considerado.
En los comentarios, no todos estuvieron de acuerdo con la conveniencia de publicar dicha actualización, argumentando que las preocupaciones de seguridad no deben confundirse con preocupaciones sobre la privacidad. El abuso de los cambios ofrecidos en las actualizaciones instaladas automáticamente puede provocar una pérdida de confianza en dichas actualizaciones.
- Los desarrolladores de los navegadores Vivaldi y Brave Browser se negaron a implementar el soporte FLoC en sus productos, argumentando que sus usuarios tienen derecho a la privacidad. Los representantes de Vivaldi también señalaron que, para llamar a las cosas por su nombre, FLoC no es una tecnología de privacidad, como Google intenta promoverla, sino una tecnología de seguimiento que viola la privacidad.
- La organización de derechos humanos EFF (Electronic Frontier Foundation) ha lanzado un sitio web amifloced.org que permite detectar la inclusión de FLoC en el navegador, lo que le da al usuario la oportunidad de saber si está participando en el experimento de Google.
- El motor de búsqueda DuckDuckGo criticó FLoC y agregó el bloqueo de FLoC al complemento DuckDuckGo Privacy Essentials para Chrome, y también prohibió el uso de FLoC en el sitio web duckduckgo.com (DuckDuckGo Search) estableciendo el encabezado HTTP “Permissions-Policy: interest-cohort =()”.
- Microsoft aún no ha comenzado a habilitar FLoC en el navegador Edge, ha adoptado un enfoque de esperar y ver y está intentando desarrollar su propia tecnología de seguimiento de preferencias PARAKEET (Solicitudes privadas y anónimas de anuncios que mantienen la eficacia y mejoran la transparencia). La esencia de PARAKEET es el uso de un servidor proxy ubicado entre el usuario y la red publicitaria. Al usuario se le asigna un identificador único, pero la información sobre él solo la recibe un proxy, que transmite solo un conjunto limitado de información anónima a la red publicitaria.
- Mozilla y Opera no tienen planes de agregar implementaciones FLoC a sus productos. Apple aún no ha tomado una decisión final sobre la implementación de FLoC en Safari.
- El bloqueador de anuncios uBlock ahora desactiva las solicitudes FLoC de forma predeterminada. Se agregó un bloqueo FLoC similar a los complementos Adguard y Adblock Plus.
Recordemos que la API FLoC (Federated Learning of Cohorts) está diseñada para determinar la categoría de intereses de los usuarios sin identificación individual y sin referencia al historial de visitas a sitios específicos. FLoC le permite identificar grupos de usuarios con intereses similares sin identificar usuarios individuales. Los intereses de los usuarios se identifican mediante "cohortes", etiquetas breves que describen diferentes grupos de intereses. Las cohortes se calculan en el lado del navegador aplicando algoritmos de aprendizaje automático a los datos del historial de navegación y al contenido que se abre en el navegador. Los detalles permanecen del lado del usuario y solo se transmite externamente información general sobre cohortes, lo que refleja intereses y permite mostrar publicidad relevante sin rastrear a un usuario específico.
Principales riesgos asociados a la implementación de FLoC:
- Discriminación basada en las preferencias del usuario. Por ejemplo, las ofertas de trabajo y préstamos pueden variar según el origen étnico, la religión, el género y la edad. Los usuarios con problemas de liquidez pueden ser objeto de préstamos con tasas de interés infladas, y la focalización en preferencias demográficas y políticas puede usarse para hacer que la desinformación sea más creíble. Con FLoC, la información de comportamiento seguirá al usuario de un sitio a otro y los datos de actividad pasada se pueden utilizar para manipular al usuario al abrir sitios.
- Es posible aplicar ingeniería inversa a su historial de navegación basándose en datos de cohorte. El análisis del algoritmo para asignar cohortes nos permitirá juzgar aproximadamente qué sitios probablemente visitará el usuario. Además, basándose en cohortes, se pueden sacar conclusiones sobre la edad, el estatus social, la orientación de género, las preferencias políticas, las dificultades financieras o las desgracias vividas.
- La aparición de un factor adicional para la identificación oculta del navegador del usuario (“browser dactilaring”). Aunque las cohortes FLoC cubrirán a miles de personas, se pueden usar para mejorar la precisión de la identificación del navegador cuando se usan en combinación con otros datos indirectos como la resolución de la pantalla, la lista de tipos MIME admitidos y parámetros específicos en los encabezados (HTTP/2 y HTTPS). , complementos y fuentes instalados, disponibilidad de ciertas API web, funciones de representación específicas de tarjetas de video usando WebGL y Canvas, manipulaciones de CSS, funciones para trabajar con el mouse y el teclado.
- Proporcionar datos personales adicionales a los rastreadores que ya identifican a los usuarios. Por ejemplo, si se identifica a un usuario e inicia sesión en su cuenta, el servicio puede hacer coincidir explícitamente los datos de preferencias especificados en una cohorte con un usuario específico y, cuando las cohortes cambian, realizar un seguimiento de la transformación de las preferencias.
Además, cabe señalar que, paralelamente, representantes de la industria publicitaria están desarrollando otros métodos de identificación alternativos que pueden utilizarse para rastrear a los usuarios si las cookies de terceros están bloqueadas en Chrome. Por ejemplo, la empresa The Trade Desk propuso la tecnología UID2 (Identificador unificado), que implementa un mecanismo de identificación de usuario que funciona en cooperación con los propietarios del sitio. El identificador UID2 se genera en base a la información proporcionada por el usuario al registrarse en el sitio, como correo electrónico, número de teléfono o información de cuenta de red social. Basado en el cifrado de contenido UID2, el coordinador de infraestructura crea un token que el propietario del sitio puede transferir a las redes publicitarias. Las redes publicitarias autorizadas pueden obtener las claves para descifrar el token y obtener el UID2 original, que puede usarse para crear un perfil de usuario general que agregue información de diferentes ubicaciones.
Fuente: opennet.ru