De experimentele implementatie van FLoC-technologie, gelanceerd in Chrome 89, ontwikkeld door Google ter vervanging van cookies die bewegingen volgen, stuitte op weerstand van de gemeenschap. Na de implementatie van FLoC is Google van plan om volledig te stoppen met het ondersteunen van cookies van derden in Chrome/Chromium die worden ingesteld bij toegang tot andere sites dan het domein van de huidige pagina. FLoC wordt al willekeurig getest op een klein percentage Chrome 90-gebruikers, en ondersteuning voor FLoC is ook opgenomen in de Chromium-codebase.
Volgens tegenstanders van de implementatie van FLoC vervangt deze technologie, in plaats van het volgen van gebruikers volledig achterwege te laten, slechts één type targeting door een ander, en creëert, terwijl ze sommige problemen probeert op te lossen, andere. FLoC schept bijvoorbeeld voorwaarden voor discriminatie van gebruikers, afhankelijk van hun voorkeuren en opvattingen.
Reactie van enkele projecten op de integratie van FLoC in de Chromium-codebase:
- Een van de belangrijkste ontwikkelaars van het WordPress contentmanagementsysteem, dat ongeveer 40% van de CMS-markt voor zijn rekening neemt, stelde voor om FLoC als een veiligheidsrisico te behandelen en te profiteren van de mogelijkheid van de specificatie om het gebruik van FLoC te verbieden en de detectie van gebruikersinteresse uit te schakelen. informatie voor individuele sites. U kunt zich afmelden voor FLoC aan de sitezijde door de HTTP-header “Permissions-Policy: interest-cohort=()” in te stellen. Er wordt voorgesteld om standaard een soortgelijk FLoC-verbod in te schakelen in alle exemplaren van WordPress en de wijzigingen in een van de updates bij te werken om beveiligingsproblemen te elimineren.
Als het voorstel wordt goedgekeurd, is FLoC standaard uitgeschakeld voor alle sites die automatisch WordPress-updates toepassen. Voor degenen die FLoC willen gebruiken, wordt een optie geboden om de verzending van de header "Permissions-Policy: interest-cohort=()" uit te schakelen. Er wordt ook voorgesteld om een soortgelijk verbod op FLoC standaard toe te voegen aan de grote release van WordPress 5.8, maar het staat gepland voor juli en is mogelijk niet op tijd voor de massale opname van FLoC, dus de mogelijkheid om FLoC uit te schakelen via een tussentijdse update wordt overwogen.
In de commentaren was niet iedereen het eens met de wenselijkheid van het uitbrengen van een dergelijke update, met het argument dat veiligheidsproblemen niet verward moeten worden met zorgen over privacy. Misbruik van wijzigingen die worden aangeboden in automatisch geïnstalleerde updates kan leiden tot verlies van vertrouwen in dergelijke updates.
- De ontwikkelaars van de browsers Vivaldi en Brave Browser weigerden FLoC-ondersteuning in hun producten te implementeren en zeiden dat hun gebruikers recht hebben op privacy. Vertegenwoordigers van Vivaldi wezen er ook op dat FLoC, om het maar zo te noemen, geen privacytechnologie is, zoals Google die probeert te promoten, maar een trackingtechnologie die de privacy schendt.
- De mensenrechtenorganisatie EFF (Electronic Frontier Foundation) heeft een website amifloced.org gelanceerd waarmee je de opname van FLoC in de browser kunt detecteren, waardoor de gebruiker inzicht krijgt of hij meedoet aan het Google-experiment.
- De zoekmachine DuckDuckGo bekritiseerde FLoC en voegde FLoC-blokkering toe aan de DuckDuckGo Privacy Essentials Chrome-add-on, en verbood ook het gebruik van FLoC op de website duckduckgo.com (DuckDuckGo Search) door de HTTP-header “Permissions-Policy: interest-cohort” in te stellen. =()” .
- Microsoft is nog niet begonnen met het inschakelen van FLoC in de Edge-browser, heeft een afwachtende houding aangenomen en probeert zijn eigen technologie voor het volgen van voorkeuren PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency) te ontwikkelen. De essentie van PARAKEET is het gebruik van een proxyserver die zich tussen de gebruiker en het advertentienetwerk bevindt. De gebruiker krijgt een unieke identificatie toegewezen, maar informatie over hem wordt alleen ontvangen door een proxy, die slechts een beperkte set geanonimiseerde informatie naar het advertentienetwerk verzendt.
- Mozilla en Opera hebben geen plannen om FLoC-implementaties aan hun producten toe te voegen. Apple heeft nog geen definitief besluit genomen over de implementatie van FLoC in Safari.
- De uBlock-advertentieblokkering schakelt nu standaard FLoC-verzoeken uit. Een soortgelijke FLoC-blokkering is toegevoegd aan de Adguard- en Adblock Plus-add-ons.
Laten we niet vergeten dat de FLoC-API (Federated Learning of Cohorts) is ontworpen om de categorie gebruikersinteresses te bepalen zonder individuele identificatie en zonder verwijzing naar de geschiedenis van het bezoeken van specifieke sites. Met FLoC kunt u groepen gebruikers met vergelijkbare interesses identificeren zonder individuele gebruikers te identificeren. Gebruikersinteresses worden geïdentificeerd met behulp van ‘cohorten’, korte labels die verschillende interessegroepen beschrijven. Cohorten worden aan de browserkant berekend door machine learning-algoritmen toe te passen op browsegeschiedenisgegevens en inhoud die in de browser wordt geopend. De details blijven aan de kant van de gebruiker en alleen algemene informatie over cohorten wordt extern verzonden, waardoor interesses worden weerspiegeld en relevante advertenties kunnen worden weergegeven zonder een specifieke gebruiker te volgen.
Belangrijkste risico’s verbonden aan de implementatie van FLoC:
- Discriminatie op basis van gebruikersvoorkeuren. Het aanbod van banen en leningen kan bijvoorbeeld variëren afhankelijk van etniciteit, religie, geslacht en leeftijd. Gebruikers met weinig geld kunnen het doelwit worden van leningen met hoge rentetarieven, en het targeten van demografische en politieke voorkeuren kan worden gebruikt om desinformatie geloofwaardiger te maken. Met FLoC volgt gedragsinformatie de gebruiker van site naar site en kunnen gegevens over eerdere activiteiten worden gebruikt om de gebruiker te manipuleren bij het openen van sites.
- Het is mogelijk om uw browsegeschiedenis te reverse-engineeren op basis van cohortgegevens. Door analyse van het algoritme voor het toewijzen van cohorten kunnen we bij benadering beoordelen welke sites de gebruiker waarschijnlijk zou bezoeken. Ook kan men op basis van cohorten conclusies trekken over leeftijd, sociale status, genderoriëntatie, politieke voorkeuren, financiële moeilijkheden of ervaren tegenslagen.
- De opkomst van een extra factor voor de verborgen identificatie van de browser van de gebruiker (“browser Fingerprinting”). Hoewel FLoC-cohorten duizenden mensen zullen bestrijken, kunnen ze worden gebruikt om de nauwkeurigheid van browseridentificatie te verbeteren wanneer ze worden gebruikt in combinatie met andere indirecte gegevens zoals schermresolutie, lijst met ondersteunde MIME-typen, specifieke parameters in headers (HTTP/2 en HTTPS) , geïnstalleerde plug-ins en lettertypen, beschikbaarheid van bepaalde web-API's, videokaartspecifieke weergavefuncties met behulp van WebGL en Canvas, CSS-manipulaties, functies voor het werken met de muis en het toetsenbord.
- Het verstrekken van aanvullende persoonlijke gegevens aan trackers die gebruikers al identificeren. Als een gebruiker bijvoorbeeld wordt geïdentificeerd en ingelogd op zijn account, kan de service de voorkeursgegevens die in een cohort zijn gespecificeerd expliciet matchen met een specifieke gebruiker, en wanneer cohorten veranderen, de transformatie van voorkeuren volgen.
Bovendien kan worden opgemerkt dat vertegenwoordigers van de reclame-industrie tegelijkertijd andere alternatieve identificatiemethoden ontwikkelen die kunnen worden gebruikt om gebruikers te volgen als cookies van derden in Chrome worden geblokkeerd. Het bedrijf Trade Desk heeft bijvoorbeeld UID2-technologie (Unified Identifier) voorgesteld, die een gebruikersidentificatiemechanisme implementeert dat werkt in samenwerking met site-eigenaren. De UID2-identificatie wordt gegenereerd op basis van informatie die door de gebruiker wordt verstrekt bij registratie op de site, zoals e-mailadres, telefoonnummer of accountgegevens van sociale netwerken. Op basis van UID2-inhoudsversleuteling creëert de infrastructuurcoördinator een token dat de site-eigenaar kan overbrengen naar advertentienetwerken. Geautoriseerde advertentienetwerken kunnen de sleutels verkrijgen om het token te decoderen en de originele UID2 te verkrijgen, die kan worden gebruikt om een algemeen gebruikersprofiel op te bouwen dat informatie van verschillende locaties verzamelt.
Bron: opennet.ru