हमने निगरानी को डिफ़ॉल्ट के रूप में क्यों स्वीकार किया

 (vivianvoss.net)
1 पॉइंट द्वारा GN⁺ 2026-04-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • वेब विज्ञापन फंडिंग और tracking-आधारित targeting एक ही श्रृंखलाबद्ध तर्क में बंध गए, जिससे cross-site tracking अलग विकल्प नहीं बल्कि डिफ़ॉल्ट आधार बन गई
  • DoubleClick DART और third-party cookie ने कई वेबसाइटों पर एक ही उपयोगकर्ता को ट्रैक करना संभव बनाया, और यह इंफ्रास्ट्रक्चर बाद में भी बना रहा
  • शीर्ष 10,000 साइटें प्रति पेज औसतन 7 third-party tracker लोड करती हैं, ट्रैफ़िक का 41.1% tracker के साथ आता है, और हर अतिरिक्त tracker पर page load time लगभग 2.5% बढ़ता है
  • cookie banner industry भी एक अलग बाज़ार बन गई, और जब "Reject all" बटन छिपा दिया जाता है तो अधिकतम 90% उपयोगकर्ता स्वीकार कर लेते हैं, जिससे यह सहमति से अधिक थकान जैसी प्रतिक्रिया बन जाती है
  • Apple ATT ने सिर्फ़ operating system स्तर की permission request से opt-in दर को 15~25% तक गिरा दिया और Meta की 2022 की revenue में लगभग 10 अरब डॉलर के नुकसान का अनुमान छोड़ा, जिससे स्पष्ट हुआ कि डिफ़ॉल्ट रूप से चालू tracking कोई तकनीकी अनिवार्यता नहीं बल्कि एक चयन था

स्वयंसिद्ध

  • विज्ञापन वेब को फंड करता है, और tracking विज्ञापन को संभव बनाती है, इसलिए tracking ज़रूरी है — इस श्रृंखलाबद्ध तर्क से मौजूदा ढांचे को जायज़ ठहराया जाता है
    • cookie banner को आधुनिक रसीद की तरह माना जाता है, और "Accept" पर क्लिक को ही सहमति समझ लिया जाता है
    • यह संरचना साफ़-सुथरे तर्क जैसी दिखती है, लेकिन इसकी बुनियादी पूर्वधारणाएँ खुद अलग समीक्षा का विषय हैं
  • इस ढांचे के लिए किसी ने वोट नहीं किया, फिर भी यह स्थापित हो गया
    • FTC और EU जब बाज़ार प्रतिस्पर्धा पर बहस पूरी कर रहे थे, तब तक वेब की संरचना चुपचाप निगरानी प्रणाली में बदल चुकी थी

उत्पत्ति

  • DoubleClick की स्थापना 1996 में न्यूयॉर्क में हुई, और उसका उत्पाद DART इस धारणा पर चलता था कि उपयोगकर्ता को वेबसाइटों के बीच फ़ॉलो करते हुए प्रासंगिक विज्ञापन दिए जाएँ
    • DART का मतलब Dynamic Advertising, Reporting, and Targeting है
    • मूल विचार यह था कि विज्ञापनदाता कई वेबसाइटों में एक ही व्यक्ति को ट्रैक कर सकें
  • मुख्य तकनीकी नवाचार third-party cookie था, जिसमें ऐसे server द्वारा डाली गई छोटी text file जो उपयोगकर्ता ने सीधे विज़िट नहीं की, pixel लोड करने वाली हर वेबसाइट पर उपयोगकर्ता का पीछा करती थी
    • तकनीकी mechanism अपने-आप में साधारण था, लेकिन उसके संरचनात्मक परिणाम साधारण नहीं थे
    • उस समय banner ad पहले से मौजूद थे, और random exposure से आगे बढ़कर cross-site tracking का आधार बन गया
  • 1999 में Abacus Direct के अधिग्रहण के बाद दो database को जोड़ने का प्रस्ताव आया, और अमेरिकी FTC ने जाँच शुरू की
    • DoubleClick पीछे हट गया, लेकिन 2007 में Google ने अंततः उसे 3.1 अरब डॉलर में खरीद लिया
    • जाँच पुरानी बात बन गई, लेकिन बना हुआ इंफ्रास्ट्रक्चर कायम रहा
  • संस्थापकों के बाद की राह भी आगे बढ़ती रही
    • Kevin O'Connor ने 2001 में DoubleClick छोड़कर ScOp Venture Capital चलाना शुरू किया और अगली पीढ़ी की टेक कंपनियों में निवेश कर रहे हैं
    • Dwight Merriman ने 10 साल तक DoubleClick के CTO के रूप में काम करने के बाद, एक अन्य DoubleClick पूर्वकर्मी Eliot Horowitz के साथ 2007 में MongoDB की सह-स्थापना की
    • यानी cross-site surveillance pipeline बनाने वाली वही टीम आधुनिक वेब के बड़े हिस्से को चलाने वाला document database भी बना रही थी
    • DoubleClick alumni network को समकालीन टेक इंडस्ट्री में बेहद महत्वपूर्ण talent diaspora के रूप में वर्णित किया जाता है

DoubleClick से पहले से मौजूद पैटर्न

  • Prodigy 1984 से 2001 तक चलने वाली एक online service थी, जिसने इसी तर्क का शुरुआती रूप पहले ही लागू कर दिया था
    • network और server cost कम करने के लिए उपयोगकर्ता के निजी computer पर या उसके पास data cache करने का तरीका अपनाया गया
    • इसका औचित्य infrastructure cost reduction था, और उसका सह-प्रभाव behavioral data का बड़े पैमाने पर संचय था
  • यह पैटर्न वेब से भी पुराना है, और third-party cookie से भी पुराना
    • मुख्य अवलोकन यह है कि संचालन के लिए इकट्ठा किया गया user data अंततः व्यावसायिक रूप से दिलचस्प संपत्ति बन जाता है
  • cost optimization के लिए बनाए गए data path अंततः value extraction के लिए दोबारा इस्तेमाल होने लगते हैं
    • बचा हुआ सवाल यह नहीं कि यह कब शुरू हुआ, बल्कि यह कि protocol stack की किसी परत ने इसे रोका क्यों नहीं

लागत

  • आज औसत वेबसाइट प्रति पेज 7 third-party tracker लोड करती है; यह आँकड़ा शीर्ष 10,000 साइटों पर आधारित है
    • इंटरनेट पर इन शीर्ष 10,000 साइटों को अपेक्षाकृत अधिक सभ्य पक्ष माना जाता है
    • उन साइटों के ट्रैफ़िक का 41.1% tracker के साथ आता है
  • सहमति प्रक्रिया खुद एक अलग उद्योग बन चुकी है
    • cookie banner का 67% हिस्सा Consent Management Platform उपलब्ध कराते हैं
    • उस बाज़ार का 37% सिर्फ़ तीन कंपनियों के पास है
    • वेबसाइटों में केवल 15% ही न्यूनतम स्तर की GDPR अनुपालन शर्तें पूरी करती हैं
  • जब "Reject all" बटन को कई क्लिक के पीछे छिपा दिया जाता है, तो अधिकतम 90% उपयोगकर्ता स्वीकार कर लेते हैं
    • इसे सहमति नहीं बल्कि थकान कहा गया है
  • भौतिक लागत भी स्पष्ट है
    • हर अतिरिक्त tracker के साथ page load time लगभग 2.5% बढ़ जाता है
    • tracker-भरी साइटें उसी पेज को tracking block के साथ देखने की तुलना में लगभग 10 गुना धीमी चलती हैं
  • Real-time bidding प्रतिदिन लगभग 600 अरब request संभालता है, यानी लगभग 69 लाख प्रति सेकंड
    • हर banner, dialog, और shadow request bandwidth, battery, electricity खर्च करती है
    • बिल सब चुकाते हैं, लेकिन किसी को भी मदवार नहीं दिखता

साक्ष्य

  • समस्या का केंद्र दो संस्थापकों पर व्यक्तिगत रूप से नहीं, बल्कि व्यावसायिक दबावों के प्रति तार्किक प्रतिक्रिया पर है
    • ad network को reach चाहिए थी, publisher को revenue चाहिए था, और third-party cookie ने दोनों ज़रूरतें पूरी कर दीं
    • इससे व्यक्तिगत दोषारोपण के बजाय यह सवाल उठता है कि browser ने इसे सहारा क्यों दिया
  • और गहरा सवाल संरचनात्मक चयन में है
    • browser को content लोड करने के लिए डिज़ाइन किया गया था, लेकिन उसे उपयोगकर्ता को stalk किए जाने से बचाने के लिए भी डिज़ाइन किया जा सकता था
    • उसी रास्ते में बढ़ी gray-market fraud economy से रक्षा भी संभव थी
  • Apple ATT को उस चयन-क्षमता का वास्तविक प्रमाण माना गया है
    • इसे अप्रैल 2021 में iOS 14.5 में पेश किया गया
    • app को यह पूछने के लिए सिर्फ़ एक OS-level prompt मिलता है कि क्या वह दूसरे app और वेबसाइटों के पार उपयोगकर्ता को track कर सकता है
    • जब वास्तव में पूछा गया, तो opt-in दर 15~25% पर ही रुकी
    • Meta के CFO David Wehner ने 2022 की revenue हानि का अनुमान लगभग 10 अरब डॉलर लगाया
  • इस बात पर ज़ोर दिया गया है कि ज़रूरी तकनीक शुरू से मौजूद थी, और डिफ़ॉल्ट रूप से चालू tracking browser vendor का किया हुआ चयन था

प्रश्न

  • सवाल उठता है कि अगर browser व्यक्तिगत data को उसी तरह संभालता जैसे operating system unsigned binary को संभालता है — यानी स्पष्ट अनुमति से पहले उसे रोक देता — तो क्या नतीजा अलग हो सकता था
    • यह भी पूछा गया है कि अगर protocol खुद विज्ञापनदाताओं के बजाय उपयोगकर्ता की रक्षा करता, तो क्या होता
    • अगर cross-site request को वैसे संदेहपूर्ण नज़र से देखा जाता जैसे ट्रेन में कोई अजनबी किसी से अपना पार्सल पकड़ने को कहे, तो क्या होता
  • 30 साल बाद भी यह सवाल अनुत्तरित है
    • इंफ्रास्ट्रक्चर एक बार बन जाने के कारण बना रहता है, और उसे बनाने वाले संगठनों के लिए उसे पलटना असुविधाजनक होने के कारण भी बना रहता है
  • यह तथ्य कि Apple के एक prompt ने सिर्फ़ एक साल में 10 अरब डॉलर हिला दिए, एक संदर्भ-बिंदु के रूप में रखा गया है
    • अगर ऐसे prompt बारह होते, तो क्या बदलता
    • अगर 1996 में third-party cookie को शुरू ही न किया गया होता, तो क्या अलग होता
  • किसी निश्चित निष्कर्ष के बजाय अंत में सिर्फ़ यह बचता है कि किसी से पूछा ही नहीं गया था

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-22
Hacker News की राय

  • मेरी समझ से personalized ads जितने बताए जाते हैं, उतने असरदार नहीं लगते। Apple ATT के बाद Meta की कमाई पर असर जैसे कुछ सबूत ज़रूर हैं, लेकिन Facebook और YouTube पर मुझे दिखने वाले लगभग 30% विज्ञापन तो ऐसे खुलेआम scam ads लगते हैं जो profiling के बिना भी चल सकते हैं। उदाहरण के लिए, मुझे पूरे एक हफ्ते तक Facebook notification की नकल करने वाला विज्ञापन दिखता रहा, और उस पर क्लिक करने पर एक पेज खुलता था जो कहता था कि मेरा अकाउंट hack हो गया है और डराता था। मैंने उसकी रिपोर्ट भी की, फिर भी उसका इतने समय तक बने रहना अजीब लगा। जो विज्ञापन सच में मेरे लिए प्रासंगिक हों, वे लगभग नहीं के बराबर हैं; बस मैं जो चीज़ें पहले ही खरीद चुका हूँ उन्हीं की retargeting बार-बार दिखती रहती है, तो लगता है क्या मैं इतना भी marketable user नहीं हूँ

    • कुछ लोगों को बेकार विज्ञापन मिलना इस बात का सबूत नहीं है कि surveillance system काम नहीं कर रहा। असली सवाल यह है कि highly targeted campaigns पर कितना पैसा खर्च किया जाता है। विज्ञापन खुद अपेक्षाकृत कम नुकसानदेह हो सकते हैं, लेकिन वही data अगर state actors के हाथ लगे तो नागरिकों को दबाने के औज़ार के रूप में कहीं ज़्यादा अहम हो जाता है। इसका इस्तेमाल यह तय करने में हो सकता है कि electoral districts कैसे खींचे जाएँ, नफरत फैलाने वाली सुविधाएँ या libraries कहाँ रखी जाएँ, deportation के लिए किन लोगों को ढूँढा जाए, या political campaigns में किस पर कैसे असर डाला जाए। थोड़ी-बहुत गलती होने पर भी यह manual filtering को बहुत कम करने में काफी मददगार होता है
    • मैं भी web tracking का काफी हिस्सा block करता हूँ, इसलिए समझता हूँ कि advertisers के लिए मुझे target करना मुश्किल होगा। लेकिन फिर भी ऐसा लगता है कि वे उस जानकारी का भी ठीक से उपयोग नहीं कर पाते जो उनके पास होनी चाहिए। मेरे अनुभव में ad companies targeting बहुत खराब करती हैं। YouTube पर मुझे लगातार Turkish, Vietnamese, Arabic, Japanese और Chinese में ऐसे विज्ञापन दिखते हैं जिनमें मैं एक शब्द भी नहीं समझता। मेरे Google account, browser और device language settings सब ठीक से सेट हैं, और मैं VPN भी नहीं चलाता, इसलिए Google को पता होना चाहिए कि मैं कौन-सी भाषा इस्तेमाल करता हूँ और कहाँ हूँ। फिर भी ऐसे विज्ञापन क्यों आते हैं, यह समझ नहीं आता। पहले मैंने YouTube पर personalized ads बंद कर रखे थे, तब लगभग 100% विज्ञापन scam, deepfake या illegal products के थे, इसलिए कुछ महीने पहले मैंने जानबूझकर उन्हें फिर से चालू किया। उसके बाद porn या illegal drugs वाले विज्ञापन कम हुए, लेकिन ज़्यादातर अब भी scam हैं और मेरी demographics से बिल्कुल मेल नहीं खाते। सैकड़ों मील दूर के political ads या ऐसी भाषाओं के विज्ञापन जिन्हें मैं जानता तक नहीं, इतने आम हैं कि कभी-कभी अगर कोई स्थानीय restaurant का विज्ञापन दिख जाए तो भी लगता है कि यह असली targeting है या बस संयोग। मुझे लगभग पूरा यकीन है कि दूसरा वाला ही सच है
    • मैं मानता हूँ कि पहले से खरीदी हुई चीज़ों के विज्ञापन बार-बार दिखना ही targeted advertising की कमजोरी का सबसे अच्छा उदाहरण है
    • अपने सीमित अनुभव के आधार पर मैं धीरे-धीरे इस निष्कर्ष पर पहुँचा हूँ कि targeting खुद उतनी महत्वपूर्ण नहीं है। Facebook उपयोगकर्ताओं को एक तरह की digital लत देता है, और बदले में उपयोगकर्ता अपना attention चुकाते हैं। फिर वही attention सबसे ऊँची बोली लगाने वाले को बेच दी जाती है। विज्ञापन की वास्तविक सामग्री शायद उतनी मायने नहीं रखती; जो data इकट्ठा किया जाता है, वह उस लत को और गहरा करने के लिए इस्तेमाल होता है
    • पहले मैं Facebook पर scam ads report बहुत किया करता था, लेकिन जवाब हमेशा यही आता था कि कोई समस्या नहीं मिली। मशहूर हस्तियों या politicians की नकल करने वाले नकली AI investment videos भी Facebook के हिसाब से शायद ठीक ही हैं, और यही बात बहुत गुस्सा दिलाती है

  • मैंने कभी Ceaușescu शासन के आख़िरी दौर पर एक news report देखी थी, और उसमें बताए गए दमन के स्तर के संकेतों में से एक सड़क की बत्तियों पर लगे video cameras थे

    • मुझे लगता है कि जो मैंने देखा था वह शायद propaganda था। 1989 के Romania में ऐसा कुछ नहीं था। वह देश इतना अमीर नहीं था कि ऐसे advanced systems लगा सके, और मैं यह बात उस समय को खुद जी चुके व्यक्ति के रूप में कह सकता हूँ
    • मुझे भी वह रिपोर्ट बिना आधार की प्रचार सामग्री जैसी लगी। 1980 के दशक के Romania शासन ने सड़क की बत्तियों पर video cameras लगाए थे, इसका कोई सबूत नहीं है। और फिर वह इतनी महंगी technology पर पैसा क्यों खर्च करता। उस समय लोगों पर नज़र रखने और चुगली करने वाले लोग पहले से ही काफी थे

  • यह लेख मुझे LLM द्वारा लिखा हुआ लगा

  • militarism, surveillance, propaganda और nationalism को देखकर कुछ याद आता है। अब लगता है कि क्या हम ही villains वाली side हैं

    • अगर ऐसा है, तो मैं उल्टा पूछना चाहूँगा। मेरे हिसाब से क्या कोई ऐसा राज्य है जो ठीक से काम भी करता हो और villain भी न हो
    • मेरी राय में हमेशा से ऐसा ही रहा है
    • मुझे अक्सर लगता है कि कुछ लोग इस बात को लगातार समझ नहीं पाते
    • इस तरह की बात किसी भी देश के लोगों को पसंद आने वाली upvote बटोरने वाली खुशामद जैसी लगती है

  • जब तक web पर कमाई का मॉडल ads रहेगा, मेरे हिसाब से surveillance state भी जीवित रहेगा

    • मेरे विचार से paid services होने पर भी surveillance जारी रहेगा। क्यों नहीं रहेगा। वह extra revenue source है
    • मुझे लगता है बात इससे भी बुरी है। surveillance चाहने वाली state power और ad revenue अधिकतम करने की कोशिश करने वाला private sector हाथ मिला लेते हैं। तब lawyers शायद यह तक कहने लगें कि privacy या freedom जैसी कोई चीज़ पहले से थी ही नहीं
    • मैंने देखा है कि ads न रखने वाली sites भी अपने marketing या security features की वजह से tracking और fingerprinting जोड़ देती हैं
    • फिर भी, मेरे हिसाब से advertising अपने-आप में surveillance को अनिवार्य नहीं बनाती
    • कम-से-कम समाधान की दिशा तो साफ़ दिखती है। ad-free web की तरफ जाने का रास्ता आसान न हो, फिर भी वह public good के रूप में मूल्यवान समाधान है, यह बात मुझे स्पष्ट लगती है

  • लगता है blog को शायद hug of death मिल गया। इसकी जगह यह archive link छोड़ रहा हूँ

  • मेरे हिसाब से यह बात EU में संभव नहीं है

  • जब Apple ने पहली बार App Tracking Transparency पेश किया, तो मैंने तुरंत उसे चालू करके trackers block कर दिए। यह इतना आसान और उपयोगी था कि उसके बाद मुझे इस बारे में सोचना भी नहीं पड़ा। आजकल websites पर इसी तरह की tracking बंद करने के लिए जो अंतहीन click gymnastics करनी पड़ती है, उससे इसका फर्क बहुत साफ़ लगता है

    • विडंबना यह है कि Apple खुद भी user personal data पर पलने वाली विशाल advertising companies में से एक है। लेकिन उसने दूसरी ad companies को रोकते हुए उंगली बाहर की तरफ कर दी, और शायद इसी वजह से users का भरोसा लगभग पूरी तरह जीत लिया। ज़्यादातर लोगों को शायद यह भी पता नहीं कि Apple उनके data से ad revenue में कितना कमाता है। Apple के 4 billion dollar ad business पर लेख
    • मुझे लगता है कि यहाँ एक आम गलतफ़हमी है। ATT trackers को पूरी तरह block नहीं करता। अगर आप DNS-based ad/tracking blocker लगाकर logs देखें, तो पता चलता है कि बहुत-सी apps अब भी tracking की कोशिश करती हैं। मेरी समझ के अनुसार ATT apps और websites के बीच cross-tracking रोकने के ज़्यादा करीब है। यह apps को IDFA access करने से रोकता है, ताकि वे कई apps में फैले एक common identifier का इस्तेमाल न कर सकें। शुरुआत में इसका financial impact बड़ा था, लेकिन अब तक tracking companies ने शायद दूसरे correlation techniques काफी विकसित कर लिए होंगे। असली समाधान यह होगा कि Apple और Google apps के भीतर trackers को पूरी तरह बंद करने का विकल्प दें, और नियम तोड़ने पर उन्हें App Store से निकाल दें। लेकिन चूँकि वे अपनी ad networks से बहुत पैसा कमाते हैं, मुझे नहीं लगता वे ऐसा करेंगे। आखिरकार Apple और Google इस मुद्दे पर हमारी तरफ नहीं हैं
    • विडंबना यह है कि Google चाहे भी तो third-party cookies बंद करना उसके लिए मुश्किल है। ऐसा दूसरी tracking networks के खिलाफ anti-competitive कदम माना जा सकता है, इसलिए courts ने उसे रोका है
    • मेरा तो मानना है कि tracking बंद करने के लिए जो जटिल click प्रक्रिया चाहिए, उसे कानूनन सिर्फ opt-in के लिए ही अनुमति होनी चाहिए। अभी जो default consent वाले तरीके हैं, जो किसी न पढ़े जाने वाले terms में छिपे रहते हैं, उन्हें बदलना चाहिए
    • मेरी तरफ मामला उल्टा है; Firefox, arkenfox और uBlock Origin advanced mode के संयोजन में ऐसी tracking को enable करना ही तरह-तरह की click gymnastics मांगता है

  • यह blog इस साल देखे गए सबसे कम गंभीर designs के प्रमुख दावेदारों में से एक लगा

    • design के बारे में नहीं कह सकता, लेकिन कहीं न कहीं लेख का मुख्य पाठ था ज़रूर। जानकारी के लिए, मैंने लगभग 3000 score किया

  • जब भी मैं इस लेखक की पोस्ट पढ़ता हूँ, बगल में चल रहे Space Invaders पर मेरा ध्यान चला जाता है और मैं वही खेलने लगता हूँ। शायद मेरे ADHD स्वभाव की वजह से हो, लेकिन मुझे नहीं लगता कि मैं अकेला हूँ

    • मैं भी कुछ मिनट खेलता रहा और लेख पूरा नहीं पढ़ पाया। मुझे भी ADHD है, लेकिन मेरी सफ़ाई में कहूँ तो mouse controls वाले Space Invaders काफ़ी मज़ेदार हैं
    • अगर लेखक सच में कुछ बहुत महत्वपूर्ण कहना चाहता था, तो ऐसी बनावट उसके संदेश को खुद ही कमज़ोर कर देती है
    • मेरा तो कहना है कि बस पढ़ते-पढ़ते साथ में खेलो। यह काफ़ी अच्छा combination था
    • मैं सिर्फ comments देख रहा था, लेकिन यह पढ़ने के बाद मैंने click टालना बंद कर दिया। अब लगता है अगला एक घंटा Space Invaders खेलने में जाएगा
    • रुकिए, कौन-सा लेख था