01.12.2021

Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie

Запущенное в Chrome 89 экспериментальное внедрение технологии FLoC, развиваемой компанией Google для замены отслеживающих перемещения Cookie, столкнулось с сопротивлением со стороны сообщества. После внедрения FLoC компания Google планирует в Chrome/Chromium полностью прекратить поддержку сторонних Cookie, выставляемых при обращении к сайтам, отличным от домена текущей страницы. В настоящее время уже проводится выборочное тестирование FLoC на небольшом проценте пользователей Chrome 90, поддержка FLoC также включена в кодовую базу Chromium.

По мнению противников внедрения FLoC, данная технология вместо полного отказа от отслеживания пользователей, лишь заменяет один вид таргетинга на другой, и, пытаясь решить одни проблемы, создаёт другие. Например, FLoC создаёт условия для дискриминации пользователей в зависимости от их предпочтений и взглядов.

Реакция некоторых проектов на интеграцию FLoC в кодовую базу Chromium:

  • Один из ключевых разработчиков системы управления контентом WordPress, которая занимает около 40% рынка CMS, предложил воспринимать FLoC как угрозу безопасности и воспользоваться предоставленной в спецификации возможностью для запрета применения FLoC и отключения определения информации об интересах пользователя для отдельных сайтов. Отказ от FLoC может быть активирован на стороне сайта через выставление HTTP-заголовка «Permissions-Policy: interest-cohort=()». Подобный запрет FLoC предлагается по умолчанию включить во всех экземплярах WordPress и довести изменения в одном из обновлений с устранением проблем безопасности.

    Если предложение будет одобрено, на всех сайтах, автоматически применяющих обновления WordPress, будет по умолчанию отключён FLoC. Для тех, кто хочет использовать FLoC будет предоставлена опция для отключения передачи заголовка «Permissions-Policy: interest-cohort=()». Аналогичный запрет FLoC по умолчанию также предложено добавить в значительный релиз WordPress 5.8, но он запланирован на июль и может не успеть к массовому включению FLoC, поэтому и рассматривается возможность отключения FLoC через промежуточное обновление.

    В комментариях не все согласились с целесообразностью выпуска подобного обновления, мотивируя это тем, что не стоит смешивать проблемы с безопасностью c заботой о соблюдении конфиденциальности. Злоупотребления изменениями, предлагаемыми в автоматически устанавливаемых обновлениях, может привести к потере доверия к подобным обновлениям.

  • Разработчики браузеров Vivaldi и Brave Browser отказались реализовывать поддержку FLoC в своих продуктах, заявив, что их пользователи имеют право на конфиденциальность. Представители Vivaldi также указали, что стоит называть вещи своими именами, и FLoC — это не технология обеспечения конфиденциальности, как её пытается продвигать Google, а технология отслеживания, нарушающая конфиденциальность.
  • Правозащитная организация EFF (Electronic Frontier Foundation) ввела в строй сайт amifloced.org, позволяющий определить включение FLoC в браузере, что даёт пользователю возможность понять, участвует ли он в эксперименте Google.
  • Поисковая система DuckDuckGo выступила с критикой FLoC и добавила в Chrome-дополнение DuckDuckGo Privacy Essentials блокировку FLoC, а также запретила использование FLoC на сайте duckduckgo.com (DuckDuckGo Search) через выставление HTTP-заголовка «Permissions-Policy: interest-cohort=()».
  • Компания Microsoft пока не стала включать FLoC в браузере Edge, заняла выжидательную позицию и пытается развивать собственную технологию отслеживания предпочтений PARAKEET (Private and Anonymized Requests for Ads that Keep Efficacy and Enhance Transparency). Суть PARAKEET в использовании прокси-сервера, находящегося между пользователем и рекламной сетью. Пользователю присваивается уникальный идентификатор, но информацию о нём получает только прокси, который передаёт рекламной сети лишь ограниченный набор обезличенной информации.
  • Mozilla и Opera не планируют добавлять реализацию FLoC в свои продукты. Компания Apple пока не приняла окончательного решения по поводу реализации FLoC в Safari.
  • В блокировщике рекламы uBlock реализовано отключение запросов FLoC по умолчанию. Аналогичная блокировка FLoC добавлена в дополнения Adguard и Adblock Plus.

Напомним, что API FLoC (Federated Learning of Cohorts) предназначен для определения категории интересов пользователя без проведения индивидуальной идентификации и без привязки к истории посещения конкретных сайтов. FLoC позволяет выделять группы пользователей со сходными интересами, не идентифицируя отдельных пользователей. Интересы пользователя определяются при помощи «когорт», коротких меток, описывающих разные группы интересов. Когорты вычисляются на стороне браузера через применение алгоритмов машинного обучения к данным истории посещений и содержимому, которое открывается в браузере. Детали остаются на стороне пользователя, а во вне передаются только общие сведения о когортах, отражающих интересы и позволяющих выдать релевантную рекламу без отслеживания конкретного пользователя.

Основные риски, связанные с внедрением FLoC:

  • Появление дополнительного фактора для скрытой идентификации браузера пользователя («browser fingerprinting»). Несмотря на то, что когорты FLoC будут охватывать тысячи людей, они могут использоваться для повышения точности идентификации браузера при использовании в комбинации с другими косвенными данными, такими как разрешение экрана, список поддерживаемых MIME-типов, специфичные параметры в заголовках (HTTP/2 и HTTPS), установленные плагинов и шрифты, доступность определённых Web API, специфичные для видеокарт особенности отрисовки при помощи WebGL и Canvas, манипуляции с CSS, особенности работы с мышью и клавиатурой.
  • Предоставление дополнительных персональных данных трекерам, которые уже идентифицируют пользователей. Например, если пользователь идентифицирован и вошёл в свою учётную запись, то сервис может явно сопоставить указанные в когорте данные о предпочтениях с конкретным пользователем, а при изменении когорт отслеживать трансформацию предпочтений.
  • Не исключается проведение обратного инжиниринга истории посещений на основе данных о когорте. Анализ алгоритма назначения когорт позволит судить о том, какие примерно сайты вероятно посещал пользователь. Также на основе когорт можно делать выводы о возрасте, социальном положении, гендерной ориентации, политических предпочтениях, финансовых трудностях или пережитом несчастье.
  • Дискриминация на основе предпочтений пользователей. Например, предложения о работе и выдаче кредита могут меняться в зависимости от этнической принадлежности, религии, пола и возраста. Пользователям испытывающим проблемы с деньгами могут навязываться кредиты под завышенные проценты, а определение демографических данных и политических предпочтений могут применяться для повышения убедительности дезинформации. При использовании FLoC информация о поведении будет следовать за пользователем от сайта к сайту и данные о прошлой активности могут использоваться для манипулирования пользователем при открытии сайтов.

Дополнительно можно отметить, что параллельно представители рекламной индустрии развивают и другие альтернативные методы идентификации, которые смогут использоваться для отслеживания пользователей в случае блокировки сторонних Cookie в Chrome. Например, компания The Trade Desk предложила технологию UID2 (Unified Identifier), реализующую механизм идентификации пользователей, работающий в кооперации с владельцами сайтов. Идентификатор UID2 генерируется на основе информации, переданной пользователем при регистрации на сайте, такой как email, номер телефона или данные об учётной записи в социальной сети. На основе шифрования содержимого UID2, координатором инфраструктуры создаётся токен, который владелец сайта может передавать рекламным сетям. Авторизированные рекламные сети могут получить ключи для расшифровки токена и получения исходного UID2, который может применяться для построения общего профиля пользователя, агрегирующего информацию из разных мест.

Источник.