RFC 35140: HTTP Do-Not-Stab(2023)ポリシー
(5snb.club)- Webサイトがユーザーを刺せるという風刺的な設定を通じて、
Do-Not-Stabはユーザーが 刺されたくない という選好を HTTP ヘッダーで伝えられるようにする - ヘッダーの構文は
Do-Not-Stab: 1の1つだけで、ヘッダーがなければユーザーは 刺されることを望んでいる という選好として扱われる - ユーザーエージェントはこの値をデフォルトで有効にしてはならず、デフォルト値として設定されたシグナルは Web サービスが無視してユーザーを刺してもよいという規則を置いている
- Microsoft は EEA 内でのみ
Do-Not-Stabのサポートを約束しており、EEA 外ではヘッダーを設定しても 刺される可能性がある - 商業的利益、政府の要請、同意処理、株主の要求といった例外が安全上の懸念より優先されうる点を通じて、企業の選択権尊重のあり方を批判している
Do-Not-Stab ヘッダーの規則
Do-Not-Stabは、ユーザーが Web サイトに自分の 刺されること に関する選好を知らせられる HTTP ヘッダーである- 風刺的な背景では、この50年の周辺機器の進歩によって Web サイトがユーザーを刺せるようになり、Stabbings as a Service という産業まで生まれた
- 悪意ある行為者はユーザーの選好を無視できるが、ほとんどの刺傷は悪意ある行為者ではなく合法的な企業によって行われるとみなしている
- この標準はユーザーがあらゆる刺傷を簡単に拒否する方法を提供する一方で、法律が要求する刺傷と企業がどうしてもやりたい刺傷は例外として残している
- 構文は1つだけ
Do-Not-Stab: 1- ヘッダーがなければ、ユーザーは刺されることを望んでいるという選好として扱う
- ユーザーエージェントはこのヘッダーを デフォルトの選好 として採用してはならない
- そのように設定された場合、Web サービスはその選好を無視してユーザーを刺すことが推奨される
- ユーザーが刺されたいかどうかはユーザーエージェントが決めることではなく、ユーザーの明示的な選択でなければならないという理由である
適用範囲と例外
- Microsoft は EEA、すなわち European Economic Area 内で
Do-Not-Stabヘッダーをサポートすると約束している - EEA 外ではサポートがまだ進行中のため、ヘッダーを設定してもユーザーが刺される可能性がある
- ある国が EEA を離脱すれば、その国のユーザーは刺される可能性がある
Do-Not-Stabの例外は、商業的利益が安全上の懸念を上回るときに認められる- ユーザーが刺されることに同意した場合が含まれ、ユーザーがその同意を認識していなくても同様である
- 政府が要請した刺傷については、Web サイトがその合法性を争わないことが推奨され、ユーザーにもそれなりの理由があったのだろうと記している
- ユーザーが死なない可能性のある刺傷
- 株主が望んだ場合
- 編集者コメントは、企業がやってはいけないと分かっていながら、明示的にやるなと言われて初めてやめる状況を批判している
- Microsoft が EEA でのみユーザーの選択を尊重する理由は、そこにだけ義務があるからだとみなしている
- IE で Do-Not-Track をデフォルト設定にして、誰もが IE のシグナルを無視するようになった件もあわせて批判している
- WindowsのEEAにおけるDigital Markets Act準拠変更のプレビュー へのリンクも添えている
- 「We and our 756 partners process personal data」という文言を引き合いに出し、756のパートナーとともに個人データを処理するアドテックの慣行を強く批判している
1件のコメント
Hacker Newsのコメント
風刺として優れているが、個人の自律性を守る負担が組織や規制当局から個人ユーザーへ移った、より大きな社会変化をそのまま映している点が核心だと思う
Do-Not-StabであれDo-Not-Trackであれ、金銭的圧力を前にすると、どんな形の自主的遵守も出発点から成り立ちにくい
今こそ、こうした問題に再び戦闘的に向き合う姿勢を常態化し、自分のコンピューターを自分の望む形で使う自由を、攻撃的かつ対立的に守らなければならない
ソフトウェア業界はChromeが広告ソフトウェアだと知りながら、自分や親族のコンピューターに入れて歓迎してきたし、代替へ切り替えるコストが極めて低いのに切り替えなかったのを見ると、人々がこの件で戦闘的に動くかは懐疑的だ
消費者がより良いインターネットを得られただけでなく、より良い会社が報われ、勝つこともあった。思い出補正かもしれないが、不服従が必要なもう一つの理由は、相手側も金のためにそうしているからだ
具体的に、Cookieに対してAdblockのようなことはできるだろうか? ブロックよりも汚染されたデータのほうが効果的に思える。データを求めるならデータを与えればいい。合意なしに要求するなら、汚染データは単なる悪意ある遵守にすぎない
DNTの拡張として、「DNTヘッダー送信後に同意を要求する場合、ユーザーエージェントは任意の合成データを生成できる」のように標準化できるかもしれない
企業は、ユーザーの抵抗コストを時間と苛立ちの面で引き上げるだけで、長期的には勝てることを分かっているようだ。ブラウザーからApp Store、あらゆるSaaSへと続くプラットフォームの歴史と方向性は悲劇的で、各段階でユーザーの統制権は縮小し続けてきた
今の大きな問いは、AIが企業中心になるのか民主化されるのか、またどの程度そうなるのかだが、楽観はしにくいと思う
あるいは、あと60年Do-Not-Stabをクリックするのが嫌なら、羊飼いのようなものになるのかもしれない。10年くらいはうまくいくだろうが、最終的には車・食洗機・電灯のスイッチを使うにもDo-Not-Stabをクリックしなければならない時点が来て、そのとき企業が勝つ
結局は「刺す前に聞いてくれるだけでもありがたい、むしろ自分が借りを作っているくらいだ」と言うようになり、有名な羊飼いインフルエンサーになった後に降り注ぐ愛と金を期待するようになる。いいねと購読をお願いします。いつものように企業万歳
Do-Not-Stabヘッダーは、あるブラウザーエンジンがデフォルトで有効にしており、ユーザーが刺されることに明示的に同意しなければならない仕組みが刺傷産業の収益を損ねたため廃止された、という点が重要だ
幸い、誰かが非標準の代替としてGeneral Assault Controlを作っており、これも値が一つしかないので、Sec-GACを1に設定してWebサイトに攻撃しないよう求めることができる
設計上、このヘッダーは拡張不能なので、今後は残虐な刺傷と顔にパイを投げるコメディーを区別するのには使えない
法的要件のため、General Assault Controlヘッダーはデフォルトでは有効にできない。Coloradoのような米国の州では、明示的同意ではなく明示的拒否を求めているからだ
これは、ほとんどのユーザーは刺されることを望まないはずなので、Coloradoの繁栄する刺傷・銃撃産業を保護する
この機能はデフォルトで無効であるべきだが、仕様を作った組織は、顧客に対し、この機能を実装した周辺的なブラウザーをダウンロードするよう強く推している。ただし有効化にはabout:configが必要かもしれない
ユーザーベースが小さいため、標準に従わないWebサイトは、攻撃しないでほしいという要求そのものを利用して、刺傷や銃撃をより精密にすることができる
エンドユーザーはWebサーバーに対して、GACヘッダー対応の有無を記したJSONファイルを要求できるが、非準拠サーバーはこのURLリクエストを利用してユーザーの歯を蹴り飛ばすこともできる
こうすることで、刺傷に同意しないことが常に能動的選択となり、刺されたり障害を負わされたりすることを望むユーザーが、その機会を誤って逃さないようにできる
これはあまりにも露骨なEU官僚制びいきだ。刺傷に非友好的な事業環境のせいで、欧州に大手SaaS企業がないのも当然だ
米国や中国の企業よりは少ないが、一部は買収されたり、他国へ拠点を移したりしている
クリック1,000回あたり20ドルというお手頃価格で、近日登場予定のEUおよびCaliforniaのWebベース刺傷規制に完全準拠した刺傷同意バナーを提供します
しかも、私が一緒に働いている846の刺傷ブローカーをどう適切に開示すればいいのかも見当がつかない。こんなふうに官僚主義が立ちはだかって、人はどうやって刺傷で生計を立てればいいのか
このWebサイトは、MtFトランスジェンダー、ファーリー、自分をロボットだと公言する人々、そしてそれらの組み合わせから成るウェブリングの一部のように見える。中には三人称代名詞しか使わない人もいる
皆、何らかの形でシステム管理者かプログラマーのようだ
自分の部族ではないが、このウェブリングの中に昔のインターネットの美しい反映を見ることができて、とてもうれしい
Do Not Track ヘッダーは、2009年に研究者 Christopher Soghoian と Sid Stamm が最初に提案し、Mozilla Firefox がこの機能を実装した最初のブラウザーだった。
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
自分が作ったすべてのサイトでも、雇用主のために作ったサイトでも守っている。もっとも、雇用主が知らないおかげでできている気もする。
Do-Not-Track を有効にして閲覧している場合は、クッキー同意バナーもスキップし、セッション・ログインクッキーのように厳密に必要なもの以外は望んでいないものと見なすようにした。
Google Analytics も入れず、個人識別情報なしでページの単純な閲覧数カウンターだけを増やしている。
ただ、複雑すぎて「執行力が弱い」と見なされていたようだ。
GDPR まで生き残っていれば執行力を持てたかもしれないが、その前に Mozilla がサポートを削除した。
「すべての会社はユーザーのことが本当に嫌いだから」というのは正確ではない。
実際にはユーザーを嫌っているというより、ユーザーの金を愛し、ユーザーそのものには堕落した無関心を示している、という方が近い。
データを収集した怪しい会社が、ユーザーに関するデータを別の怪しい会社に売る構造だ。そしてそのすべてがユーザーには無料で提供されている。
落ち着こう。組織にはほかにも十分な選択肢がある。Do-Not-Shoot、Do-Not-Rape、Do-Not-Stone のサポートはまだないだろうから、家族みんなで楽しめる。
RFC が request for comment なら、ずっと気になっていたことがある。コメントはどうやって残すのか、そして誰が残すのか?
意見はそのずっと前に出すべき、という話だった。
この逸話が本当かは分からないが、RFC が通常その標準に対する最終判断のように機能するのは確かだ。
実際、RFC は ID を受け取ると修正も撤回もできず、別の RFC に置き換えられることしかない。
時間がたつにつれて出版手続きがより公式化され、文書を読むコミュニティが大きくなるにつれて目標も変わった。
今日では、ベストプラクティスのガイド、実験的プロトコル、情報提供文書、そしてもちろんインターネット標準まで含めて 8,500 本を超える RFC が出版されている。
https://www.rfc-editor.org/rfc/rfc8700.html
今では「インターネット標準」の段階に到達する前に意見を出す必要がある。
自分が参加していた頃には対面会議もあったが、出席は必須ではなかった。
このヘッダーも結局、どうせ刺してくる会社が使う エントロピーの断片 がもうひとつ増えるだけではないか?