- Firefox 128 में Privacy-Preserving Attribution(PPA) डिफ़ॉल्ट रूप से सक्षम होने के बाद, गोपनीयता सुरक्षा को प्राथमिकता देने वाले ब्राउज़र की विश्वसनीयता पर विवाद बढ़ गया है
- PPA विज्ञापन प्रदर्शन को अनाम रूप से मापने वाली एक “प्रायोगिक” सुविधा है, लेकिन अपडेट के बाद इसे opt-out तरीके से दिया गया, यानी उपयोगकर्ता को इसे स्वयं बंद करना होगा
- आलोचक Jonah Aragon का मानना है कि Mozilla को उपयोगकर्ताओं की प्रतिक्रिया का अंदेशा था, फिर भी उसने पहले से पर्याप्त खुलासा और कम्युनिटी टेस्टिंग के लिए पर्याप्त समय नहीं दिया
- Mozilla के Bas Schouten का कहना है कि यदि किसी सिस्टम को उपयोगकर्ता के लिए पर्याप्त रूप से समझना मुश्किल हो, तो opt-in उचित नहीं है, और विज्ञापन ट्रैकिंग से सुरक्षा को प्राथमिकता दी जानी चाहिए
- भले ही aggregation server व्यक्तिगत उपयोगकर्ता को छिपा दे, उपयोगकर्ता डेटा डिवाइस से बाहर जाता है — और Mozilla के विज्ञापन व्यवसाय से जुड़े हित अब भी मुख्य विवाद बने हुए हैं
Firefox 128 में PPA डिफ़ॉल्ट सक्षम होने पर विवाद
- Firefox 128 को व्यावहारिक नए फीचर्स की तुलना में डेटा सुरक्षा विवाद के कारण अधिक ध्यान मिल रहा है
- इस नए संस्करण में विज्ञापनों और उनके प्रदर्शन को अनाम रूप से मापने वाली Privacy-Preserving Attribution(PPA) तकनीक शामिल है
- Mozilla ने PPA को “प्रायोगिक” फीचर बताया, लेकिन Firefox 128 अपडेट के साथ इसे अपने आप उपलब्ध कराया और डिफ़ॉल्ट रूप से चालू रखा
- उपयोगकर्ता को PPA स्वयं बंद करना होगा
- फीचर बैकग्राउंड में जोड़ा गया है, यह पता होने पर ही इसे निष्क्रिय किया जा सकता है
- Jonah Aragon की आलोचना का केंद्र यह है कि Mozilla जानता था कि Firefox उपयोगकर्ता ऐसी सुविधा नहीं चाहेंगे
- उनका मानना है कि यदि यह उपयोगकर्ताओं की इच्छित सुविधा होती, तो Mozilla को PPA पहले से घोषित करना चाहिए था और कम्युनिटी को इसे टेस्ट करने का समय देना चाहिए था
- Mozilla एक महीने से PPA सपोर्ट दस्तावेज़ उपलब्ध करा रहा है: Privacy-Preserving Attribution
Mozilla का स्पष्टीकरण और डेटा प्रवाह पर विवाद
- Bas Schouten का मानना है कि PPA जैसे सिस्टम को उपयोगकर्ताओं को समझाना कठिन है
- उनका कहना है कि यदि उपयोगकर्ता पर्याप्त जानकारी के आधार पर निर्णय नहीं ले सकता, तो opt-in का कोई अर्थ नहीं है
- उनका यह भी मानना है कि उपयोगकर्ताओं को विज्ञापन ट्रैकिंग से बचाना चाहिए, और नए फीचर्स अक्सर उपयोगकर्ताओं से पूछे बिना भी सक्रिय किए जाते हैं
- Aragon इस रवैये की आलोचना करते हैं और कहते हैं कि इससे Mozilla खुद को “कम जानकारी रखने वाली जनता का संरक्षक” जैसा दिखाता है
- इसके जवाब में कहा जाता है कि Firefox उपयोगकर्ता ऐसे वयस्क हैं जिनकी राय विशेष रूप से सुनी जानी चाहिए
- PPA में विज्ञापन प्रदाता और उपयोगकर्ता डेटा के बीच एक aggregation server होता है
- यह अलग-अलग ब्राउज़र की जानकारी को अनाम बनाकर भाग लेने वाले विज्ञापन ग्राहकों को डेटा देता है
- इससे विज्ञापन प्रदाता व्यक्तिगत उपयोगकर्ता की पहचान नहीं कर सकते
- लेकिन उपयोगकर्ता डेटा aggregation server तक जाता है, इसलिए यह टालना संभव नहीं कि डेटा उपयोगकर्ता के कंप्यूटर से बाहर जाए
- Mozilla का कहना है कि यह server किसी विज्ञापन नेटवर्क का हिस्सा नहीं है, लेकिन आलोचक इस भेद को स्वीकार नहीं करते
- Aragon का आरोप है कि Mozilla ने विज्ञापन नेटवर्क की परिभाषा बदलकर इसे विज्ञापन प्रदाता से अलग दिखाने की कोशिश की है
Anonymous अधिग्रहण और Firefox पर भरोसे का सवाल
- कुछ हफ्ते पहले Mozilla ने PPA विकसित करने वाली कंपनी Anonymous का अधिग्रहण किया, जिससे संदेह और बढ़ गया
- Anonymous विज्ञापन और उपयोगकर्ता के बीच मध्यस्थ की भूमिका निभाती है
- यह संदेह है कि Mozilla PPA के जरिए नकदी प्रवाह बेहतर करना चाहता है, हालांकि संबंधित राशि स्पष्ट नहीं है
- डेटा सुरक्षा को बढ़ावा देने वाले Firefox द्वारा इस तरह का तरीका अपनाने से विश्वास का सवाल खड़ा हो गया है
- Aragon का कहना है कि फिलहाल Mozilla के वादे ही एकत्र किए गए डेटा की सुरक्षा का मुख्य आधार हैं, और तकनीकी रूप से भविष्य में सिस्टम को इस तरह बदलना आसान होगा कि विज्ञापन प्रदाता व्यक्तिगत डेटा तक पहुँच सकें
- Anonymous के अधिग्रहण के समय भी ऐसी चिंताएँ थीं, लेकिन यह अनुमान लगाना कठिन था कि Mozilla पीछे के रास्ते से विज्ञापन नेटवर्क बनाएगा
- Firefox, Google Chrome का एकमात्र बड़ा प्रतिस्पर्धी है, जबकि बाकी ब्राउज़र Chromium-आधारित हैं
- एक स्वतंत्र ब्राउज़र के रूप में Ladybird को गति मिल रही है, लेकिन अभी उसे भरोसेमंद वेब ब्राउज़र बनने में समय लगेगा
2 टिप्पणियां
लगता है कि यह उसी विषय की पोस्ट है, इसलिए लिंक जोड़ रहा/रही हूँ.
GN⁺: Firefox, बिना उपयोगकर्ता की सहमति के [ad tracking] जोड़ा और सक्रिय किया
Hacker News की रायें
इस फीचर को बंद करने के निर्देश यहाँ[1] हैं, लेकिन प्रक्रिया यह है: hamburger menu → Settings → Privacy & Security में जाएँ, फिर नए बने “Web Site Advertising Preferences” सेक्शन तक नीचे स्क्रोल करें और “Allow web sites to perform privacy-preserving ad measurement” को अनचेक कर दें
[1] https://support.mozilla.org/en-US/kb/privacy-preserving-attr...
अंदरूनी सेटिंग वैल्यू
dom.private-attribution.submission.enabledहै, और इसे policy से जबरन बंद करने का इरादा हैसेटिंग search box में “advertising” टाइप करने पर भी कोई result नहीं आता
कंपनी ने यूज़र से पूछे बिना एकतरफा तय किया कि software को क्या करना चाहिए, और Silicon Valley की ऐसी प्रथा आम है लेकिन डरावनी है
वह फीचर कैंसर का इलाज करे या मुफ्त पिल्ले दे, इससे फर्क नहीं पड़ता; मैं नहीं चाहता कि कोई ऐसा फीचर चले जिसे मैंने साफ तौर पर चलाने का आदेश नहीं दिया
Mozilla CTO ने /r/firefox पर इस मुद्दे पर पोस्ट किया है:
https://old.reddit.com/r/firefox/comments/1e43w7v/a_word_abo...
पहला web article आने से पहले ही यूज़र्स की प्रतिक्रिया पूरी तरह अनुमानित थी
अगर Mozilla में निर्णय लेने वाले लोग इसका अनुमान नहीं लगा पाए, तो इसका मतलब है कि वे लोगों की privacy concerns को बिल्कुल नहीं समझते या उनकी परवाह नहीं करते; दोनों ही खराब हैं
यह बहुत समस्याजनक है, और पहले की गई टिप्पणी भी देखने लायक है: https://news.ycombinator.com/item?id=40966312
यह arms race संभवतः web publications और video feeds में DRM लाने की दिशा में जाएगी, और Google पहले से ही प्रयोग कर रहा है
अगर telemetry बंद है, तो यह फीचर भी बंद हो जाता है, लेकिन UI में ऐसा नहीं दिखता, इसलिए यह चालू जैसा दिखता है
इसका मौजूद होना और default on होना अच्छा नहीं है, लेकिन अगर आपने पहले ही telemetry से opt out कर रखा है, तो इससे भी साथ में opt out हो चुका है
सचमुच user-hostile बात है यूज़र को बताए बिना, सहमति के बिना चलाना
Firefox update के बाद नए tab में Mozilla जिन features को महत्वपूर्ण मानता है, जैसे VPN या mobile Firefox, उनका अक्सर promotion करता है, लेकिन इस बार इस बदलाव के बारे में कुछ नहीं कहा गया
मुझे बताने की लागत “मुफ्त” थी, फिर भी उन्होंने सक्रिय रूप से ऐसा न करने का विकल्प चुना
surveillance के बारे में “कुछ करना” transparency से शुरू होता है, और अगर Mozilla leadership इसे महत्वपूर्ण नहीं मानती, तो वे ऐसी कंपनी चलाने के योग्य नहीं हैं
Firefox users Firefox इसलिए इस्तेमाल करते हैं क्योंकि वे Google या Microsoft की बार-बार दिखने वाली संदिग्ध tactics नहीं चाहते, और वे browser का control ऐसे conference-room लोगों को नहीं सौंपना चाहते जिनके लिए PR team को मुद्दे पर लंबा non-answer जारी करना पड़े
इस technology को क्यों बनाया गया, इस पर बहुत बातें हैं, लेकिन खुद को user rights का समर्थक कहने वाली कंपनी ने सबसे बड़े मुद्दे—यानी रातों-रात change push करके एक साफ तौर पर विवादास्पद setting को बिना warning या communication के enable करने वाला user-hostile decision—पर बहुत कम बात की है
“हमें और ज्यादा communicate करना चाहिए था” जैसी PR-style भाषा उन users के लिए “हमने इसे सक्रिय रूप से छिपाया” जैसी सुनाई देती है जिन्होंने इस browser को वजह से जाँचा और चुना था, और उन्हें अलग-थलग महसूस कराने का यह सबसे अच्छा तरीका है
Wikimedia Foundation की अक्सर कैंसर से तुलना की जाती है[1], और Mozilla Foundation को मानो Alzheimer’s हो गया है, जैसे वह बार-बार भूल जाता है कि वे कौन हैं और क्यों मौजूद हैं
[1] https://en.wikipedia.org/wiki/User:Guy_Macon/Wikipedia_has_C...
Cliqz भी Mozilla का privacy-preserving technology में निवेश करने का एक और प्रयास था; तब मामला search का था, इस बार advertising का है, और दोनों को user consent के बिना चुपचाप launch किया गया
तो मैंने खोज लिया कि इसे कैसे बंद करना है
Settings में जाएँ और search box में privacy टाइप करें; “Firefox Data Collection and Use” के नीचे आखिरी item में “Allow websites to perform privacy-preserving ad measurement” checkbox है
अभी चेक किया तो मेरी तरफ यह पहले से unchecked था
Firefox मोबाइल में
chrome://geckoview/content/config.xhtmlखोलकरgeneral.aboutConfig.enableकोtrueसेट करें, फिरabout:configमेंdom.private-attribution.submission.enabledकोfalseमें बदल देंसमस्या शायद यह है कि क्या चतुर attribution manipulation से aggregation service को कई sites में एक user के लिए लगभग unique report advertising site को देने के लिए प्रेरित किया जा सकता है
<https://support.mozilla.org/en-US/kb/privacy-preserving-attr...>
<https://datatracker.ietf.org/doc/html/draft-ietf-ppm-dap>
<https://github.com/mozilla/explainers/tree/main/ppa-experime...>
programs.firefox.policies.Preferences."dom.private-attribution.submission.enabled" = false;(https://gitlab.com/engmark/root/-/commit/bbb3ff9efb878ddda38...)
settings में इस option को दिखाने का विचार नहीं किया गया, इसलिए
about:configको enable करने का workaround इस्तेमाल करना पड़ता हैLadybird browser development के लिए कहां donate करना है, यह सोच रहा था; किसी के जवाब देने से पहले लिख दूं, यहां है: https://donorbox.org/ladybird
Servo link यहां है: https://servo.org/sponsorship/
web developer के तौर पर, आम लोगों को switch करने के लिए राजी करने के लिए इसकी जरूरत होगी
Firefox जितना तेज browser develop करने में लंबा समय लगता है, और CSS और JS आसान नहीं हैं
अगर कुछ साल बाद वे सच में browser पूरा भी कर लें, तो भी इस बात की कोई guarantee नहीं कि किसी न किसी रूप में quality degradation और monetization distortion नहीं होगा
मेरी नजर में open source browser को de-contaminate करने के लिए मौजूद project ही विकल्प है
https://librewolf.net/
जब काम न करे, तो Firefox पर वापस जा सकते हैं
आम तौर पर suspicious sites, मजबूत bot protection और fingerprint tracking इस्तेमाल करने वाली sites, या GPU API इस्तेमाल करने वाली sites पर दिक्कत आती है
project के पीछे कोई legal entity नहीं है, इसलिए अगर project के साथ कुछ होता है तो, संभावना कम होने पर भी, legal liability structure नहीं है
binaries signed नहीं हैं, और भले ही code signing थोड़ा धंधे जैसा चलता हो, उसका मतलब होता है
automatic update mechanism भी नहीं है; खासकर Windows पर browser update करने के लिए third-party client पर निर्भर रहने की सलाह देना काफी बड़ी समस्या है
एक और middleman जोड़ दिया गया है और binaries भी signed नहीं हैं, इसलिए इस बात की guarantee नहीं कि malicious binary download नहीं होगी
Brew से install कर पाना अच्छा है
Firefox की बार-बार धीमी और खराब performance, और पूरे device को slow करने की tendency को सहने की कुछ ही वजहों में से एक privacy थी
अगर वही खत्म हो गई, तो फिर इसे इस्तेमाल क्यों करें; बेहतर है Chrome ही इस्तेमाल कर लें
कम से कम वह हल्का और काफी तेज है
यह तरीका noise जोड़कर काम करता है, लेकिन क्या attacker signal बढ़ाकर इसे bypass नहीं कर सकता?
अगर मान लें कि attacker Sybil advertisers/browsers बना सकता है, तो यह काफी संभव लगता है
कई ad identifiers और कई Sybil advertisers से बना baseline exposure set M define करें, और हर targeted user के लिए भी कई ad identifiers और कई Sybil advertisers वाला marker exposure set M define करें
फिर marker+baseline exposures को बहुत सारे Sybil browsers में store करें, ताकि reporting baseline एक निश्चित probability से पार हो
जब targeted user targeted website visit करता है, तो हर ad/advertiser के लिए conversion report request करें
तब baseline ads/advertisers से baseline signal और marker ads/advertisers से marker signal मिलेगा, और अगर यह user targeted users में से एक है, तो उम्मीद की जा सकती है कि “marker” signal baseline से मजबूत होगा
अगर आपको लगता है कि इस attack में दम है, तो issue खोलना भी अच्छा रहेगा
Firefox को ऐसा tracking blocker integrate करना चाहिए जो JavaScript execution पर निर्भर सभी ads और profiling-related third-party code snippets को block करे, लेकिन page में integrated, page owner द्वारा सीधे serve किए गए और page content पर आधारित ad images को रहने दे
magazine ads की तरह
इसके अलावा बाकी सब advertising industry के “profile बनाना ठीक है” वाले विचार से सहमत होना ही है
आजकल advertisers सोचते हैं कि वे हर चीज के हकदार हैं, और Firefox ने उनकी मदद कर दी
पहले मैंने अपनी वेबसाइट पर “Download Firefox” बटन लगाया हुआ था, लेकिन अतीत की ऐसी ही घटनाओं के कारण उसे हटा दिया
दोस्तों और परिवार को Firefox सुझाना भी बंद कर दिया, और अब सच में इसकी सिफारिश नहीं कर सकता
आजकल कौन-सा browser इस्तेमाल करते हैं, इससे बहुत फर्क पड़ता भी है या नहीं, इसका भी भरोसा नहीं है
परंपरा जैसी वजह से अभी भी Firefox इस्तेमाल कर रहा हूँ, लेकिन मुझे पता है कि तकनीकी रूप से सक्षम कई और लोग भी Firefox छोड़ चुके हैं
शायद वजह भी मिलती-जुलती रही होगी: Firefox अब दूसरे browsers से कम परेशान करने वाला महसूस नहीं होता
अगर Firefox लगातार अपने अधिक समर्पित समर्थकों को खोता गया और वे उदासीन हो गए, तो भविष्य काफी अंधकारमय दिखता है