RFC 35140: HTTP Do-Not-Stab (2023) नीति
(5snb.club)- एक व्यंग्यात्मक कल्पना के ज़रिए कि वेबसाइटें उपयोगकर्ताओं को चाकू मार सकती हैं,
Do-Not-Stabउपयोगकर्ताओं को HTTP header के माध्यम से यह पसंद भेजने देता है कि वे चाकू नहीं खाना चाहते - header का syntax केवल
Do-Not-Stab: 1है, और अगर header मौजूद न हो तो इसे उपयोगकर्ता की चाकू खाने की इच्छा के रूप में माना जाता है - user agent इस मान को डिफ़ॉल्ट रूप से चालू नहीं कर सकता; अगर सिग्नल डिफ़ॉल्ट रूप से सेट हो, तो वेब सेवा उसे नज़रअंदाज़ कर उपयोगकर्ता को चाकू मार सकती है
- Microsoft ने केवल EEA के भीतर
Do-Not-Stabसमर्थन का वादा किया है, और EEA के बाहर header सेट होने पर भी चाकू मारा जा सकता है - यह दिखाते हुए कि व्यावसायिक हित, सरकारी अनुरोध, consent processing और shareholder की मांग जैसी exceptions सुरक्षा चिंताओं से ऊपर रखी जा सकती हैं, यह कंपनियों की "चुनाव की स्वतंत्रता" वाली सोच की आलोचना करता है
Do-Not-Stab header के नियम
Do-Not-Stabएक HTTP header है जो उपयोगकर्ता को वेबसाइट को चाकू मारे जाने के बारे में अपनी पसंद बताने देता है- इस व्यंग्यात्मक पृष्ठभूमि में, पिछले 50 सालों में peripherals के विकास से वेबसाइटें उपयोगकर्ताओं को चाकू मारने में सक्षम हो गईं, और Stabbings as a Service उद्योग तक पैदा हो गया
- दुर्भावनापूर्ण actor उपयोगकर्ता की पसंद को नज़रअंदाज़ कर सकते हैं, लेकिन माना गया है कि ज़्यादातर चाकूबाज़ी दुर्भावनापूर्ण actor नहीं बल्कि वैध कंपनियाँ करती हैं
- यह standard उपयोगकर्ताओं को सभी चाकूबाज़ी को आसानी से अस्वीकार करने का तरीका देता है, लेकिन कानूनन अनिवार्य चाकूबाज़ी और वह चाकूबाज़ी जो कंपनियाँ वैसे भी करना चाहती हैं, exceptions बनी रहती हैं
- syntax केवल एक है
Do-Not-Stab: 1- header न होने पर इसे उपयोगकर्ता की चाकू मारे जाने की पसंद के रूप में माना जाता है
- user agent इस header को डिफ़ॉल्ट preference के रूप में नहीं अपना सकता
- अगर ऐसा सेट किया गया हो, तो वेब सेवाओं को सलाह दी जाती है कि वे preference को नज़रअंदाज़ करें और उपयोगकर्ता को चाकू मारें
- वजह यह है कि उपयोगकर्ता चाकू खाना चाहता है या नहीं, यह user agent तय नहीं कर सकता; यह उपयोगकर्ता का स्पष्ट चुनाव होना चाहिए
लागू क्षेत्र और exceptions
- Microsoft ने EEA यानी European Economic Area के भीतर
Do-Not-Stabheader का समर्थन करने का वादा किया है - EEA के बाहर समर्थन अभी प्रगति पर है, इसलिए header सेट होने पर भी उपयोगकर्ता को चाकू मारा जा सकता है
- अगर कोई देश EEA छोड़ देता है, तो उस देश के उपयोगकर्ताओं को चाकू मारा जा सकता है
Do-Not-Stabexceptions तब मान्य हैं जब व्यावसायिक हित सुरक्षा चिंताओं से बड़े हों- इसमें वह स्थिति शामिल है जब उपयोगकर्ता ने चाकू मारे जाने के लिए consent दिया हो, भले ही उपयोगकर्ता को अपने consent की जानकारी न हो
- सरकार द्वारा अनुरोधित चाकूबाज़ी के मामले में वेबसाइटों को उसकी वैधता पर विवाद न करने की सलाह दी जाती है, और लिखा गया है कि शायद उपयोगकर्ता ने कुछ ऐसा किया होगा
- ऐसी चाकूबाज़ी जिसमें उपयोगकर्ता के मरने की संभावना न हो
- जब shareholder ऐसा चाहते हों
- editor की टिप्पणी इस स्थिति की आलोचना करती है कि कंपनियाँ जानती हैं कि उन्हें कुछ नहीं करना चाहिए, फिर भी वे तभी रुकती हैं जब साफ़-साफ़ मना किया जाए
- इसमें कहा गया है कि Microsoft EEA में ही उपयोगकर्ता की पसंद का सम्मान इसलिए करता है क्योंकि बाध्यता वहीं है
- IE में Do-Not-Track को डिफ़ॉल्ट बनाकर सबको IE के सिग्नल को नज़रअंदाज़ करने पर मजबूर करने की भी आलोचना की गई है
- Windows के EEA के भीतर Digital Markets Act अनुपालन बदलावों की झलक लिंक भी शामिल है
- “We and our 756 partners process personal data” वाक्यांश का हवाला देते हुए, 756 partners के साथ personal data प्रोसेस करने वाली ad tech प्रथाओं की कड़ी आलोचना की गई है
1 टिप्पणियां
Hacker News की राय
व्यंग्य शानदार है, लेकिन मुख्य बात यह है कि यह उस बड़े सामाजिक बदलाव को साफ़ दिखाता है जिसमें व्यक्तिगत स्वायत्तता की रक्षा का बोझ संस्थाओं और नियामकों से हटकर व्यक्तिगत users पर आ गया है
Do-Not-Stab हो या Do-Not-Track, वित्तीय दबाव के सामने किसी भी तरह का स्वैच्छिक अनुपालन शुरुआत से ही टिकना मुश्किल लगता है
अब ऐसे मुद्दों पर फिर से लड़ाकू रुख को सामान्य बनाना होगा, और अपने computer को अपनी इच्छा के अनुसार इस्तेमाल करने की आज़ादी को आक्रामक और टकरावपूर्ण तरीके से बचाना होगा
software industry ने यह जानते हुए भी कि Chrome advertising software है, उसे अपने और रिश्तेदारों के computers पर install करके उसके लिए red carpet बिछा दिया; और alternative पर switch करने की लागत बेहद कम होने के बावजूद नहीं किया—इसे देखते हुए मुझे संदेह है कि लोग इस पर लड़ाकू रुख अपनाएँगे
इससे consumers को बेहतर internet ही नहीं मिला, बल्कि बेहतर companies को reward मिला और वे जीतीं भी। यह nostalgia bias हो सकता है, लेकिन disobedience की एक और वजह यह है कि दूसरी तरफ़ वाले भी पैसे के कारण ही ऐसा करते हैं
खास तौर पर cookies के लिए क्या हम Adblock जैसा कुछ कर सकते हैं? block करने से ज़्यादा दूषित data असरदार लग सकता है। अगर वे data माँगते हैं, तो data दे दो। अगर बिना सहमति के माँगते हैं, तो दूषित data बस malicious compliance है
DNT के विस्तार के रूप में इसे standardize भी किया जा सकता है, जैसे “DNT header के बाद consent माँगे जाने पर user agent मनमाना synthetic data generate कर सकता है”
companies को लगता है कि वे users के resistance की लागत समय और झुंझलाहट के रूप में बढ़ा दें तो लंबे समय में जीत सकती हैं। browser से App Store और हर तरह के SaaS तक platforms का इतिहास और दिशा दुखद है, और हर चरण में user control लगातार कम हुआ है
अब बड़ा सवाल यह है कि AI company-centric होगा या democratized, और कितनी हद तक; लेकिन आशावादी होना मुश्किल लगता है
या फिर अगर 60 साल और Do-Not-Stab पर click करना पसंद नहीं है, तो shepherd जैसा कुछ बना जा सकता है। लगभग 10 साल तक यह अच्छी तरह चलेगा, लेकिन आखिरकार ऐसा समय आएगा जब car, dishwasher, light switch इस्तेमाल करने के लिए Do-Not-Stab click करना पड़ेगा, और तब company जीत जाएगी
आखिर में हम कहेंगे, “stab करने से पहले पूछ लिया, इसके लिए ही शुक्रगुज़ार होना चाहिए; सच तो यह है कि मैं उनका ऋणी हूँ,” और फिर मशहूर shepherd influencer बनने के बाद मिलने वाले प्यार और पैसे की उम्मीद करेंगे। likes और subscribe करें, हमेशा की तरह companies ज़िंदाबाद
अहम बात यह है कि Do-Not-Stab header को एक browser engine ने default रूप से on किया था, और users को stab किए जाने के लिए स्पष्ट consent देना पड़ता था—इस structure ने stabbing industry के revenue को नुकसान पहुँचाया, इसलिए इसे हटा दिया गया
सौभाग्य से किसी ने non-standard alternative General Assault Control बना दिया, और इसमें भी सिर्फ़ एक value है, इसलिए Sec-GAC को 1 set करके websites से हमला न करने का अनुरोध किया जा सकता है
design के कारण यह header extend नहीं किया जा सकता, इसलिए भविष्य में क्रूर चाकूबाज़ी और चेहरे पर pie फेंकने वाली comedy के बीच फर्क करने में इसका इस्तेमाल नहीं हो सकेगा
legal requirements की वजह से General Assault Control header default रूप से on नहीं किया जा सकता। Colorado जैसे अमेरिकी राज्यों में explicit consent नहीं, बल्कि explicit refusal की requirement है
इससे Colorado की फलती-फूलती stabbing और shooting industry सुरक्षित रहती है, क्योंकि अधिकतर users शायद stab होना नहीं चाहेंगे
यह feature default रूप से off होना चाहिए, लेकिन specification बनाने वाली organization अपने customers को इस feature को implement करने वाला fringe browser download करने के लिए ज़ोर-शोर से push कर रही है। हालांकि इसे on करने के लिए about:config की जरूरत पड़ सकती है
user base छोटा होने के कारण, standards का पालन न करने वाली websites हमला न करने के अनुरोध का ही इस्तेमाल stabbing और shooting को और सटीक बनाने के लिए कर सकती हैं
end users web server से GAC header support की जानकारी वाला JSON file माँग सकते हैं, लेकिन non-compliant server इस URL request का इस्तेमाल करके user के दाँतों पर लात भी मार सकता है
इससे stabbing के लिए consent न देना हमेशा एक active choice बन जाता है, और जो users stab होना या अपंग होना चाहते हैं, वे गलती से वह अवसर न खो दें
यह तो बहुत खुलेआम EU bureaucracy का पक्ष लेना है। stabbing के लिए hostile business environment के कारण Europe में बड़ी SaaS companies नहीं हैं, इसमें कोई हैरानी नहीं
वे अमेरिकी और चीनी companies से कम हैं, लेकिन कुछ acquire हो चुकी हैं या अपना base दूसरे देशों में shift कर चुकी हैं
1,000 clicks पर 20 dollar की कम कीमत में, हम जल्द आने वाले EU और California के web-based stabbing regulations का पूरी तरह पालन करने वाला stabbing consent banner उपलब्ध कराएँगे
ऊपर से जिन 846 stabbing brokers के साथ मैं काम करता हूँ, उन्हें ठीक से disclose कैसे करूँ, यह भी समझ नहीं आता। इतनी bureaucracy रास्ते में हो तो इंसान stabbing से रोज़ी-रोटी कैसे कमाए
यह website MtF transgender लोगों, furries, खुद को robot बताने वालों, और इनके combinations से बने webring का हिस्सा लगती है। कुछ लोग केवल third-person pronouns भी इस्तेमाल करते हैं
लगता है सभी किसी न किसी रूप में system administrators या programmers हैं
मेरा tribe नहीं है, लेकिन इस webring में पुराने internet की एक सुंदर झलक देखकर बहुत खुशी हुई
Do Not Track हेडर को पहली बार 2009 में शोधकर्ता Christopher Soghoian और Sid Stamm ने प्रस्तावित किया था, और Mozilla Firefox इस फीचर को लागू करने वाला पहला browser था
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
मैंने जो भी sites बनाई हैं, और employers के लिए बनाई गई sites में भी इसका पालन किया है। हालांकि लगता है कि यह इसलिए संभव है क्योंकि employer को पता नहीं है
Do-Not-Track चालू रखकर browse करने पर मैंने ऐसा बनाया कि cookie consent banner भी skip हो जाए, और session/login cookies जैसी strictly necessary चीज़ों के अलावा बाकी सबको अनचाहा माना जाए
Google Analytics भी नहीं डालता, और personally identifiable information के बिना सिर्फ page का single view counter बढ़ाता हूं
लेकिन शायद इसे बहुत जटिल और “enforcement की कमी” वाला माना गया
अगर यह GDPR तक बचा रहता, तो शायद इसे enforcement मिल जाती, लेकिन Mozilla ने उससे पहले ही support हटा दिया था
“क्योंकि सभी कंपनियां users से सचमुच नफरत करती हैं” कहना सटीक नहीं है
असल में वे users से नफरत करने के बजाय users के पैसे से प्यार करती हैं, और user खुद के प्रति भ्रष्ट उदासीनता दिखाती हैं
संदिग्ध कंपनियां data collect करती हैं और users के बारे में data दूसरी संदिग्ध कंपनियों को बेचती हैं। और यह सब users को मुफ्त में दिया जाता है
शांत हो जाइए। संगठनों के पास दूसरे विकल्प खूब हैं। Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone के लिए support फिर भी नहीं होगा, इसलिए पूरा परिवार इसका आनंद ले सकता है
अगर RFC का मतलब request for comment है, तो मुझे हमेशा यह जानने की जिज्ञासा रही है। comment कैसे छोड़ा जाता है, और कौन छोड़ता है?
राय उससे काफी पहले देनी चाहिए, यही बात थी
यह किस्सा सच है या नहीं, मुझे नहीं पता, लेकिन यह सही है कि RFC आम तौर पर उस standard पर अंतिम निर्णय जैसा काम करता है
असल में RFC को ID मिल जाने के बाद उसे modify या withdraw नहीं किया जा सकता, उसे केवल किसी दूसरे RFC से replace किया जा सकता है
समय के साथ publication process ज्यादा formal हुआ और सामग्री consume करने वाली community बड़ी हुई, तो लक्ष्य बदल गया
आज best practice guides, experimental protocols, informational material, और निश्चित ही internet standards समेत 8,500 से अधिक RFC प्रकाशित हो चुके हैं
https://www.rfc-editor.org/rfc/rfc8700.html
आजकल “internet standard” stage तक पहुंचने से पहले ही opinions देने होते हैं
जब मैं participate करता था, तब in-person meetings भी होती थीं, लेकिन attendance mandatory नहीं थी
क्या यह header भी आखिरकार उन कंपनियों द्वारा इस्तेमाल किया जाने वाला entropy का एक और टुकड़ा नहीं बन जाएगा, जो वैसे भी stab करेंगी?