2 पॉइंट द्वारा GN⁺ 2024-12-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वेबसाइटों को ट्रैकिंग से इनकार की इच्छा भेजने वाली Do Not Track(DNT) सेटिंग Firefox 135 से हट रही है, और Nightly बिल्ड में विकल्प हटाया जाना पहले ही देखा जा चुका है
  • DNT HTTP header के जरिए उपयोगकर्ता की पसंद बताने का तरीका है, लेकिन कई साइटें इस सिग्नल का पालन नहीं करतीं, इसलिए इसकी प्रभावशीलता कम रही
  • Mozilla का मानना है कि कुछ मामलों में DNT सिग्नल प्राइवेसी को कम कर सकता है, और Bugzilla एंट्री व सपोर्ट दस्तावेज़ों में इसके हटने की पुष्टि की गई है
  • विकल्प के तौर पर Global Privacy Control(GPC) आधारित “मेरे डेटा को बेचें या साझा न करें, यह वेबसाइटों को बताएं” सेटिंग दी गई है
  • जिन उपयोगकर्ताओं ने पहले DNT चालू किया था, उनके Firefox 135 में अपग्रेड करने पर क्या होगा यह अभी स्पष्ट नहीं है, जबकि Chrome और Microsoft Edge अब भी DNT सेटिंग देते हैं

Firefox 135 में DNT सेटिंग हटाई गई

  • Mozilla ने Firefox से Do Not Track(DNT) सेटिंग हटा दी है
    • यह बदलाव Firefox 135 और उसके बाद के संस्करणों पर लागू है
    • यह परिवर्तन पहले ही Nightly बिल्ड में देखा जा सकता है
  • Nightly के “Website Privacy Preferences” में “Send websites a ‘Do Not Track’ request” विकल्प गायब हो गया है
  • Bugzilla में Remove DNT control from about:preferences#privacy एंट्री भी इसी बदलाव की पुष्टि करती है

DNT की सीमाएँ और GPC विकल्प

  • DNT एक ब्राउज़र सेटिंग है जिसके जरिए उपयोगकर्ता वेबसाइटों को ट्रैक न करने की इच्छा भेजता है
    • इसे सक्रिय करने पर उपयोगकर्ता की ट्रैकिंग-अस्वीकार पसंद दिखाने वाला विशेष HTTP header वेबसाइटों को भेजा जाता है
    • DNT को 2009 में Christopher Soghoian और Sid Stamm ने पेश किया था, और Firefox इस फीचर को लागू करने वाला पहला ब्राउज़र था
  • इसे हटाने की वजह यह है कि कई वेबसाइटें DNT सिग्नल का सम्मान नहीं करतीं, और कुछ मामलों में इससे प्राइवेसी कम हो सकती है
    • Firefox सपोर्ट दस्तावेज़ बताते हैं कि Firefox 135 से DNT checkbox हटा दिया जाएगा
    • सपोर्ट दस्तावेज़ों में कहा गया है कि कई साइटें इस प्राइवेसी वरीयता संकेत का सम्मान नहीं करतीं
  • Firefox जिस विकल्प की सिफारिश करता है, वह Global Privacy Control है
    • संबंधित सेटिंग है “Tell websites not to sell or share my data”
    • यह विकल्प GPC पर आधारित है
    • GPC का सम्मान अब अधिक से अधिक साइटें कर रही हैं, और कुछ क्षेत्रों में इसे कानून के तहत लागू भी किया जाता है
  • जिन उपयोगकर्ताओं ने पहले DNT चालू किया था, वे प्रभावित Firefox संस्करण में अपग्रेड करते समय क्या देखेंगे, यह अभी स्पष्ट नहीं है
    • “Firefox no longer supports Do Not Track” संदेश दिख सकता है
    • या यह भी संभव है कि सिग्नल वेबसाइटों को भेजा जाना जारी रहे
  • Google Chrome और Microsoft Edge जैसे अन्य ब्राउज़र अभी भी DNT सेटिंग देते हैं
    • Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
    • Microsoft Edge: Settings > Privacy, Search, and Services > “Send Do Not Track requests” चालू करें

1 टिप्पणियां

 
GN⁺ 2024-12-12
Hacker News की राय
  • जब Mozilla में यह फीचर लागू किया जा रहा था, तब मैं वहां काम कर रहा था
    वेबसाइट इसे सपोर्ट करेगी या नहीं, यह पूरी तरह वैकल्पिक था, और शुरुआती दौर में सिर्फ कुछ ही साइटें इसे सपोर्ट करती थीं
    अंदरूनी तौर पर कई लोगों की राय थी कि इसे डिफॉल्ट रूप से ऑन करना चाहिए, लेकिन तर्क यह था कि ऐसा करने पर कोई भी इसका सम्मान नहीं करेगा। कौन-सा tracking platform उन सिर्फ 0.1% लोगों को track नहीं करेगा जो settings में जाकर इसे खुद ऑन करते हैं
    आखिरकार Internet Explorer ने इसे डिफॉल्ट रूप से ऑन कर दिया और अच्छी मीडिया प्रतिक्रिया मिली, लेकिन सबने इसे नजरअंदाज करना शुरू कर दिया, जिससे फीचर खुद ही खत्म हो गया
    कुल मिलाकर, मुझे खुशी है कि यह फीचर जा रहा है। असल में यह कुछ भी नहीं करता था, बल्कि ऐसा दिखाता था जैसे यह बहुत कुछ कर रहा हो, इसलिए मेरे हिसाब से यह सिर्फ झूठी सुरक्षा की भावना देता था
    हालांकि अच्छा होगा अगर हर साइट के cookie modal browser स्तर पर आ जाएं। ऐसा अभी तक क्यों नहीं हुआ, इसके कई कारण होंगे, लेकिन एक बड़ा कारण शायद G से शुरू होकर Oogle पर खत्म होता है

    • “हर साइट के cookie modal browser स्तर पर आ जाएं तो अच्छा होगा” यह बात परोक्ष रूप से पहले से संभव है
      uBlock Origin settings में Cookie Banners और Annoyances filter ऑन कर दें, तो modal background में चुपचाप हट जाते हैं और आप browsing जारी रख सकते हैं। आपने consent दिया ही नहीं, इसलिए functionally यह banner में reject करने जैसा ही होना चाहिए
      uBlock Origin को support न करने वाले खराब browsers, जैसे iOS या Android के लिए Chrome, में Kill Sticky bookmarklet भी कुछ ऐसा ही काम करता है: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
      वे पुराने browsers याद आते हैं जो users को प्राथमिकता देते थे और popup blocking जैसी चीजें डिफॉल्ट रूप से ऑन रखते थे
    • RFC 35140 “Do-Not-Stab” ने user agent को इसे डिफॉल्ट रूप से ऑन नहीं करना चाहिए क्यों लिखा था, वजह यही है
      https://www.5snb.club/posts/2023/do-not-stab/
    • उस समय मैं बड़ी ad tech कंपनियों में से एक में काम करता था। DNT advertising industry, उस revenue पर निर्भर sites, browser vendors और privacy advocates के बीच सावधानी से negotiated compromise था
      हमने DNT को edge infrastructure में implement किया था और deploy करने के लिए भी तैयार थे
      लेकिन Microsoft ने Google के साथ युद्ध के बीच, और aQuantive acquisition के जरिए आगे बढ़ाई गई अपनी ad tech ambitions के 6 billion dollar impairment में समाप्त होने के बाद, इसे डिफॉल्ट रूप से ऑन करके agreement तोड़ दिया। यह सभी के लिए घातक झटका साबित हुआ
      advertising industry DNT के opt-out version को कभी स्वीकार नहीं करती। जब केवल रुचि रखने वाले कुछ लोग इसे खुद ऑन करते थे, तब यह काम करता था, लेकिन उस समय का dominant web browser अगर सभी users की ओर से choice कर दे, तो यह टिक नहीं सकता था
      मैं पूरी तरह समझता हूं कि लोग tracking और personalized ads से नफरत क्यों करते हैं। पिछले 10 सालों में यह ज्यादा intrusive हो गया है, लेकिन कम से कम उस समय यह commercial web के लिए जरूरी था
    • उस bit को ऑन करने से, विडंबना यह थी कि browser fingerprint थोड़ा और साफ हो जाता था
    • मेरे हिसाब से DNT एक creative समाधान था
      tracking रोकने का इकलौता तरीका कानून या regulation है। technical solution अंतहीन arms race है, और end users के लिए शायद हारने वाली लड़ाई जैसा है
      DNT consumers के यह दिखाने का तरीका था कि वे track नहीं होना चाहते, और कंपनियों को ऐसी स्थिति में रखता था जहां वे privacy को लेकर consumers की स्पष्ट request को ignore कर रही होतीं
      अफसोस, कोई भी उस बात का प्रभावी इस्तेमाल नहीं कर पाया
  • Mozilla के हालिया कदमों को लेकर लोगों की खराब छवि है, यह समझ आता है। लेकिन यहां सबसे खराब नजरिये से भी देखें तो वे बस ऐसा फीचर हटा रहे हैं जिसका लगभग कोई सम्मान नहीं करता था
    यह फीचर honor system पर आधारित था, और Switzerland का honor system भी random checks करता है। browser के पास इस फीचर को enforce करने का कोई तरीका बिल्कुल नहीं था
    विडंबना यह है कि इसे जानबूझकर ऑन करने वाले privacy-conscious लोगों को track करने के लिए यह एक अतिरिक्त data point के रूप में भी इस्तेमाल हुआ

    • Medium ने इसे लंबे समय तक support किया, और Matomo जैसे tools भी इसे डिफॉल्ट रूप से support करते थे
      Firefox ने विकल्प के रूप में Global Privacy Control implement किया है, लेकिन उसमें भी ठीक वही समस्या है और GPC का सम्मान करने वाली websites और भी कम हैं
      आज websites की normalized cyber-stalking practices का यह असली समाधान नहीं है, लेकिन इसे पूरी तरह बेकार भी नहीं कहा जा सकता
    • चर्चा और system खुद ही rigged थे। अगर यह निष्पक्ष होता तो ऐसा होना चाहिए था
      1. users को डिफॉल्ट रूप से tracking नहीं चाहिए, ऐसा मानकर Do Not Track को बंद करने का option बनाया जाना चाहिए था
      2. कुछ वर्षों तक चलाने के बाद, कोई इसका सम्मान नहीं करता, इस चर्चा को धीरे-धीरे बढ़ाना चाहिए था
        ऐसा होता तो यह newsworthy होता, और कम से कम EU में इसे regulation के जरिए enforce करने योग्य मुद्दे के रूप में देखा जा सकता था
        लेकिन असल में Do Not Track को सफल होने का मौका ही नहीं मिला, और मुझे लगता है यह जानबूझकर किया गया था
    • सहमत हूं। यह बस एक voluntary rule है जिसे ऐसा browser इस्तेमाल करता है जिसकी market share rounding error जैसी दिखती है
      अगर किसी ने online privacy के लिए सिर्फ इसी पर भरोसा किया, तो उसे education की जरूरत है
      उस नजरिये से, इसे हटाने से शायद कुछ लोग browser में ज्यादा मजबूत protections लागू करें, और बहुत छोटे स्तर पर ही सही, कुल मिलाकर privacy के लिए मददगार हो सकता है
    • नजरअंदाज किए जाने से भी ज्यादा, अहम यह है कि इसने fingerprint surface घटाने का एक और तरीका जोड़ा
  • अब इसे हटाने का समय आ गया है। इससे privacy protection में कभी कोई सार्थक उपलब्धि नहीं मिली, उल्टा इसने users को uniquely identify करने और tracking को बेहतर बनाने के लिए एक और signal देकर विपरीत असर किया
    हालांकि tracking prevention कुल मिलाकर मूलतः हारती हुई लड़ाई जैसी है। https://amiunique.org/ पर जाएँ तो वजह समझ में आ जाएगी
    Firefox में उपलब्ध सभी protections, “strict” tracking prevention mode और uBlock Origin इस्तेमाल करने पर भी, first-party tracking से बचा नहीं जा सकता
    एक प्रभावशाली उदाहरण के तौर पर, आजकल browsers किसी device के CPU cores की संख्या websites को expose कर सकते हैं। सिर्फ इसी से 80–90% users को छाँटा जा सकता है, और user agent, IP, language के साथ मिलाकर यह लगभग unique identification बन जाता है
    https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...

    • अच्छा होगा अगर default के रूप में इतना basic JavaScript environment मिले कि वह सभी users को एक जैसा दिखे
      आदर्श रूप से सभी browsers में, कम-से-कम Firefox में ही सही, जब कोई site tracking संभव बनाने वाली advanced features इस्तेमाल करने की कोशिश करे तो address bar में एक icon दिखे, और case-by-case allow करने का विकल्प हो
      कहने का मतलब NoScript नहीं, बल्कि Low script है
    • लक्ष्य unique न दिखना नहीं होना चाहिए। आपको reveal करने वाले छोटे-छोटे elements बहुत ज्यादा हैं
      अगर आज किसी तरह सभी elements से निपट भी लें, तो अगला browser update कोई नया signal चालू कर सकता है, और आप यह भरोसा भी नहीं कर सकते कि amiunique.org सभी identifying data points देख रहा है। आखिरकार यह एक ऐसी arms race है जिसमें हार तय है
      आप जो चाहते हैं वह यह है कि हर visited site पर आप अलग तरह से unique हों। अगर JavaScript को default रूप से बंद कर दिया जाए ताकि site browser द्वारा expose किए जाने वाले data points के 90% को जुटा ही न सके, तो और बेहतर
      सबसे मजबूत protection शायद VPN से IP address बदलना, और user agent व अन्य clues को randomize करना होगा
    • दो समस्याएँ हैं जो एक-दूसरे से orthogonal हैं। मुख्य बात उस व्यक्ति को track करना व्यावहारिक रूप से कठिन बनाने की जरूरत है जो track नहीं होना चाहता
      साथ ही जो करना चाहिए, वह है इसे illegal बनाना
      DNT बिना कानूनी backing के बाद वाले लक्ष्य को हासिल करने की एक “जल्दबाजी” वाली कोशिश जैसा लगता है
    • यह जानकारी कि browser device के CPU cores की संख्या websites को expose करता है, navigator.hardwareConcurrency आने से पहले भी पता लगाई जा सकती थी
      इस जानकारी को infer करने वाला एक timing attack polyfill public किया गया था, और शुरुआत में उसके replacement के रूप में navigator.hardwareConcurrency API प्रस्तावित किया गया था
      इस API की basic usefulness के अलावा, browser vendors ने माना कि websites को यह value पता करने के लिए user devices को benchmark करने की जरूरत नहीं पड़ेगी, जिससे battery life बच सकती है
  • इस feature को हटाना user agency को नुकसान पहुँचाता है। Firefox users को और परेशान करने वाले consent prompts से निपटना पड़ेगा
    Transcend Consent Management की default settings में, अगर DNT on है तो user को सभी non-essential tracking purposes से बाहर कर दिया जाता है और automatic consent prompt भी दबा दिया जाता है, लेकिन अगर केवल GPC on है तो सिर्फ “information sale/sharing” को reject किया जाता है
    इस centralized privacy signal को हटाने से कुछ users परेशान करने वाले banners से interact किए बिना Transcend Consent Management में default रूप से full rejection व्यक्त नहीं कर पाएँगे
    मुझे लगता है कि यह change web community के उचित विचार और feedback के बिना push कर दिया गया। Mozilla ने इसे इतनी जल्दी निपटा दिया कि issue बंद होने से पहले बहुत कम लोगों ने समस्या notice की[1]। ऊपर से, issue बंद होने पर Bugzilla को ऐसा configured किया गया है कि Mozilla employees के अलावा कोई और additional comments नहीं डाल सकता
    जब Chrome team ने 2023 में DNT हटाने का प्रस्ताव रखा था, तब भी मैंने ऐसा ही feedback दिया था[2]। उन्होंने feedback पर विचार किया और फिलहाल DNT Chrome में मौजूद है, और removal अनिश्चित काल के लिए postponed है

    1. https://bugzilla.mozilla.org/show_bug.cgi?id=1928087
    2. https://issues.chromium.org/issues/41440843#comment12
    • सिर्फ इसलिए कि एक consent management tool—और वह भी शायद बहुत व्यापक रूप से इस्तेमाल न होने वाला—इस flag को समझता और इस्तेमाल करता है, feature बनाए रखने का मजबूत आधार नहीं है
      advertisers को भेजे जाने वाले और स्वीकार किए जाने की उम्मीद रखने वाले voluntary flag पर निर्भर न रहने वाले बेहतर privacy protection तरीके मौजूद हैं
    • यह user agency को नुकसान नहीं पहुँचाता। क्योंकि कोई भी इसे respect नहीं करता
      खासकर privacy और security में, effectiveness का गलत आभास देने वाले features उल्टा harmful होते हैं
      किसी को यह महसूस नहीं होना चाहिए कि Do Not Track on करने की वजह से उसे track नहीं किया जाएगा। यह गलत है
      इसलिए इसे हटाना सही है
  • GPC मूल रूप से DNT जैसा ही है, लेकिन [1] के अनुसार “GPC कई मायनों में DNT में सुधार करता है”
    कानूनी समर्थन: DNT के उलट, GPC को CCPA जैसे अधिक कानूनों का समर्थन है, जो कंपनियों से ऐसे संकेतों का सम्मान करने की मांग करते हैं
    लक्ष्य का अधिक स्पष्ट होना: DNT पूरे tracking को कवर करता था, लेकिन GPC डेटा की बिक्री या sharing रोकने पर केंद्रित है, इसलिए आज की privacy जरूरतों से ज्यादा संबंधित है
    बेहतर अपनाए जाने की संभावना: GPC को नियामकों, privacy advocates और industry leaders की राय से बनाया गया, ताकि यह मौजूदा कानूनों के अनुरूप हो और पिछली functionality की कमियों को संबोधित कर सके
    लेकिन मूल रूप से यह लगभग वही है
    इसलिए “Firefox DNT हटा रहा है” कहने के बजाय, यह “Firefox GPC के शुरुआती अप्रभावी version को छोड़ रहा है” के ज्यादा करीब लगता है
    [1]: https://www.cookiebot.com/en/global-privacy-control/

    • GPC को CCPA जैसे कानूनों का समर्थन इसलिए है क्योंकि यह default रूप से बंद है? आखिरकार, पहले से तय value रखने वाला header होने के मामले में यह वही है
      मेरी मांग है कि मुझे track न किया जाए। बिक्री से पहले tracking आती है। मैं बिक्री से opt out नहीं, बल्कि tracking से opt out चाहता हूं
      “functionality की कमियां” कहा जाता है, लेकिन GPC और DNT में फर्क सिर्फ इतना है कि DNT DNT: 1 भेजता है और GPC Sec-GPC: 1 भेजता है
      जो कंपनियां DNT का सम्मान नहीं करती थीं, वे GPC का सम्मान करेंगी, ऐसा नहीं लगता। यहां अकेला फर्क यह है कि IE में GPC default रूप से on नहीं है, लेकिन DNT default रूप से on है
  • अगर मैंने ठीक समझा है, तो DNT को नए proposal “Global Privacy Control” के लिए हटाया जा रहा है: https://w3c.github.io/gpc/
    इसलिए Firefox अब DNT: 1 header के बजाय, DNT में इस्तेमाल होने वाली setting से अलग setting के जरिए वैकल्पिक रूप से Sec-GPC: 1 भेजेगा
    मुझे समझ नहीं आता कि इसे उपयोगी बदलाव क्यों माना जा रहा है। एक वेबसाइट operator के तौर पर, जिसने पहले DNT header मौजूद होने पर anonymization code activate करने के लिए implementation किया था, मैं Sec-GPC भी देखने के लिए code जोड़ सकता हूं, लेकिन यह बदलाव के लिए बदलाव जैसा लगता है
    अगर वही browser setting checked है, तो Mozilla बस दोनों headers भेज सकता है; वेबसाइटों से दोनों check करवाना भी अजीब है। मैं समझता हूं कि Sec-GPC के लिए DNT से ज्यादा मजबूत commitment चाहिए, लेकिन बाद वाला पहले वाले का subset है, इसलिए client-side checkbox की description update करके दोनों भेज देना काफी नहीं होगा?

  • “Do Not Track” signal tracking रोकने से ज्यादा एक अतिरिक्त fingerprinting signal के रूप में उपयोगी था
    उम्मीद है कि अब कुछ ज्यादा मजबूत आगे बढ़ाया जा सकेगा

  • 2018 में इसे deprecate करने की योजना बनी और 2024 में हटा दिया गया। अपने मकसद के ठीक उलट इस्तेमाल हो रहे feature के लिए यह timeline किसी के लिए चौंकाने वाली नहीं है

  • मेरे हिसाब से इसे रहने देना चाहिए था और EU को इसे ignore करने को कानूनी रूप से abuse बनाना चाहिए था। तब उस कमबख्त cookie banner की भी जरूरत नहीं पड़ती

    • ignore करने का मतलब है कि explicit consent लेना होगा, और websites पहले से यही कर रही हैं
  • usage इतना कम था कि इस feature का इस्तेमाल लोगों को track करने में हो रहा था

    • साफ समाधान शायद इसे default रूप से on करना था