Запущенное в Chrome 89 экспериментальное внедрение технологии FLoC, развиваемой компанией Google для замены отслеживающих перемещения Cookie, столкнулось с сопротивлением со стороны сообщества. После внедрения FLoC компания Google планирует в Chrome/Chromium полностью прекратить поддержку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. В настоящее время уже проводится выборочное тестирование FLoC на небольшом проценте пользователей Chrome 90, поддержка FLoC также включена в кодовую базу Chromium.
По мнению противников внедрения FLoC, данная технология вместо полного отказа от отслеживания пользователей, лишь заменяет один вид таргетинга на другой, и, пытаясь решить одни проблемы, создаёт другие. Например, FLoC создаёт условия для дискриминации пользователей в зависимости от их предпочтений и взглядов.
Реакция некоторых проектов на интеграцию FLoC в кодовую базу Chromium:
- Один из ключевых разработчиков системы управления контентом WordPress, которая занимает около 40% рынка CMS, предложил воспринимать FLoC как угрозу безопасности и воспользоваться предоставленной в спецификации возможностью для запрета применения FLoC и отключения определения информации об интересах пользователя для отдельных сайтов. Отказ от FLoC может быть активирован на стороне сайта через выставление HTTP-заголовка «Permissions-Policy: interest-cohort=()». Подобный запрет FLoC предлагается по умолчанию включить во всех экземплярах WordPress и довести изменения в одном из обновлений с устранением проблем безопасности.
Если предложение будет одобрено, на всех сайтах, автоматически применяющих обновления WordPress, будет по умолчанию отключён FLoC. Для тех, кто хочет использовать FLoC будет предоставлена опция для отключения передачи заголовка «Permissions-Policy: interest-cohort=()». Аналогичный запрет FLoC по умолчанию также предложено добавить в значительный релиз WordPress 5.8, но он запланирован на июль и может не успеть к массовому включению FLoC, поэтому и рассматривается возможность отключения FLoC через промежуточное обновление.
В комментариях не все согласились с целесообразностью выпуска подобного обновления, мотивируя это тем, что не стоит смешивать проблемы с безопасностью c заботой о соблюдении конфиденциальности. Злоупотребления изменениями, предлагаемыми в автоматически устанавливаемых обновлениях, может привести к потере доверия к подобным обновлениям.
- Разработчики браузеров Vivaldi и Brave Browser отказались реализовывать поддержку FLoC в своих продуктах, заявив, что их пользователи имеют право на конфиденциальность. Представители Vivaldi также указали, что стоит называть вещи своими именами, и FLoC — это не технология обеспечения конфиденциальности, как её пытается продвигать Google, а технология отслеживания, нарушающая конфиденциальность.
- Правозащитная организация EFF (Electronic Frontier Foundation) ввела в строй сайт amifloced.org, позволяющий определить включение FLoC в браузере, что даёт пользователю возможность понять, участвует ли он в эксперименте Google.
- Поисковая система DuckDuckGo выступила с критикой FLoC и добавила в Chrome-дополнение DuckDuckGo Privacy Essentials блокировку FLoC, а также запретила использование FLoC на сайте duckduckgo.com (DuckDuckGo Search) через выставление HTTP-заголовка «Permissions-Policy: interest-cohort=()».
- Компания Microsoft пока не стала включать FLoC в браузере Edge, заняла выжидательную позицию и пытается развивать собственную технологию отслеживания предпочтений PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency). Суть PARAKEET в использовании прокси-сервера, находящегося между пользователем и рекламной сетью. Пользователю присваивается уникальный идентификатор, но информацию о нём получает только прокси, который передаёт рекламной сети лишь ограниченный набор обезличенной информации.
- Mozilla и Opera не планируют добавлять реализацию FLoC в свои продукты. Компания Apple пока не приняла окончательного решения по поводу реализации FLoC в Safari.
- В блокировщике рекламы uBlock реализовано отключение запросов FLoC по умолчанию. Аналогичная блокировка FLoC добавлена в дополнения Adguard и Adblock Plus.
Напомним, что API FLoC (Federated Learning of Cohorts) предназначен для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов. FLoC позволяет выделять группы пользователей со сходными интересами, не идентифицируя отдельных пользователей. Интересы пользователя определяются при помощи «когорт», коротких меток, описывающих разные группы интересов. Когорты вычисляются на стороне браузера через применение алгоритмов машинного обучения к данным истории посещений и содержимому, которое открывается в браузере. Детали остаются на стороне пользователя, а во вне передаются только общие сведения о когортах, отражающих интересы и позволяющих выдать релевантную рекламу без отслеживания конкретного пользователя.
Основные риски, связанные с внедрением FLoC:
- Дискриминация на основе предпочтений пользователей. Например, предложения о работе и выдаче кредита могут меняться в зависимости от этнической принадлежности, религии, пола и возраста. Пользователям испытывающим проблемы с деньгами могут навязываться кредиты под завышенные проценты, а определение демографических данных и политических предпочтений могут применяться для повышения убедительности дезинформации. При использовании FLoC информация о поведении будет следовать за пользователем от сайта к сайту и данные о прошлой активности могут использоваться для манипулирования пользователем при открытии сайтов.
- Не исключается проведение обратного инжиниринга истории посещений на основе данных о когорте. Анализ алгоритма назначения когорт позволит судить о том, какие примерно сайты вероятно посещал пользователь. Также на основе когорт можно делать выводы о возрасте, социальном положении, гендерной ориентации, политических предпочтениях, финансовых трудностях или пережитом несчастье.
- 사용자 브라우저의 숨겨진 식별을 위한 추가 요소(“브라우저 핑거프린팅”)의 출현. FLoC 코호트는 수천 명의 사람들을 포괄하지만 화면 해상도, 지원되는 MIME 유형 목록, 헤더의 특정 매개변수(HTTP/2 및 HTTPS)와 같은 기타 간접 데이터와 함께 사용하면 브라우저 식별의 정확성을 향상시키는 데 사용할 수 있습니다. , 설치된 플러그인 및 글꼴, 특정 웹 API의 가용성, WebGL 및 Canvas를 사용한 비디오 카드별 렌더링 기능, CSS 조작, 마우스 및 키보드 작업 기능.
- Предоставление дополнительных персональных данных трекерам, которые уже идентифицируют пользователей. Например, если пользователь идентифицирован и вошёл в свою учётную запись, то сервис может явно сопоставить указанные в когорте данные о предпочтениях с конкретным пользователем, а при изменении когорт отслеживать трансформацию предпочтений.
Дополнительно можно отметить, что параллельно представители рекламной индустрии развивают и другие альтернативные методы идентификации, которые смогут использоваться для отслеживания пользователей в случае блокировки сторонних Cookie в Chrome. Например, компания The Trade Desk предложила технологию UID2 (Unified Identifier), реализующую механизм идентификации пользователей, работающий в кооперации с владельцами сайтов. Идентификатор UID2 генерируется на основе информации, переданной пользователем при регистрации на сайте, такой как email, номер телефона или данные об учётной записи в социальной сети. На основе шифрования содержимого UID2, координатором инфраструктуры создаётся токен, который владелец сайта может передавать рекламным сетям. Авторизированные рекламные сети могут получить ключи для расшифровки токена и получения исходного UID2, который может применяться для построения общего профиля пользователя, агрегирующего информацию из разных мест.
출처 : opennet.ru