1 ポイント 投稿者 GN⁺ 2024-11-26 | 1件のコメント | WhatsAppで共有
  • Webサイトがユーザーを刺せるという風刺的な設定を通じて、Do-Not-Stab はユーザーが 刺されたくない という選好を HTTP ヘッダーで伝えられるようにする
  • ヘッダーの構文は Do-Not-Stab: 1 の1つだけで、ヘッダーがなければユーザーは 刺されることを望んでいる という選好として扱われる
  • ユーザーエージェントはこの値をデフォルトで有効にしてはならず、デフォルト値として設定されたシグナルは Web サービスが無視してユーザーを刺してもよいという規則を置いている
  • Microsoft は EEA 内でのみ Do-Not-Stab のサポートを約束しており、EEA 外ではヘッダーを設定しても 刺される可能性がある
  • 商業的利益、政府の要請、同意処理、株主の要求といった例外が安全上の懸念より優先されうる点を通じて、企業の選択権尊重のあり方を批判している

Do-Not-Stab ヘッダーの規則

  • Do-Not-Stab は、ユーザーが Web サイトに自分の 刺されること に関する選好を知らせられる HTTP ヘッダーである
  • 風刺的な背景では、この50年の周辺機器の進歩によって Web サイトがユーザーを刺せるようになり、Stabbings as a Service という産業まで生まれた
  • 悪意ある行為者はユーザーの選好を無視できるが、ほとんどの刺傷は悪意ある行為者ではなく合法的な企業によって行われるとみなしている
  • この標準はユーザーがあらゆる刺傷を簡単に拒否する方法を提供する一方で、法律が要求する刺傷と企業がどうしてもやりたい刺傷は例外として残している
  • 構文は1つだけ
    • Do-Not-Stab: 1
    • ヘッダーがなければ、ユーザーは刺されることを望んでいるという選好として扱う
  • ユーザーエージェントはこのヘッダーを デフォルトの選好 として採用してはならない
    • そのように設定された場合、Web サービスはその選好を無視してユーザーを刺すことが推奨される
    • ユーザーが刺されたいかどうかはユーザーエージェントが決めることではなく、ユーザーの明示的な選択でなければならないという理由である

適用範囲と例外

  • Microsoft は EEA、すなわち European Economic Area 内で Do-Not-Stab ヘッダーをサポートすると約束している
  • EEA 外ではサポートがまだ進行中のため、ヘッダーを設定してもユーザーが刺される可能性がある
  • ある国が EEA を離脱すれば、その国のユーザーは刺される可能性がある
  • Do-Not-Stab の例外は、商業的利益が安全上の懸念を上回るときに認められる
    • ユーザーが刺されることに同意した場合が含まれ、ユーザーがその同意を認識していなくても同様である
    • 政府が要請した刺傷については、Web サイトがその合法性を争わないことが推奨され、ユーザーにもそれなりの理由があったのだろうと記している
    • ユーザーが死なない可能性のある刺傷
    • 株主が望んだ場合
  • 編集者コメントは、企業がやってはいけないと分かっていながら、明示的にやるなと言われて初めてやめる状況を批判している
    • Microsoft が EEA でのみユーザーの選択を尊重する理由は、そこにだけ義務があるからだとみなしている
    • IE で Do-Not-Track をデフォルト設定にして、誰もが IE のシグナルを無視するようになった件もあわせて批判している
    • WindowsのEEAにおけるDigital Markets Act準拠変更のプレビュー へのリンクも添えている
    • 「We and our 756 partners process personal data」という文言を引き合いに出し、756のパートナーとともに個人データを処理するアドテックの慣行を強く批判している

1件のコメント

 
GN⁺ 2024-11-26
Hacker Newsのコメント
  • 風刺として優れているが、個人の自律性を守る負担が組織や規制当局から個人ユーザーへ移った、より大きな社会変化をそのまま映している点が核心だと思う
    Do-Not-StabであれDo-Not-Trackであれ、金銭的圧力を前にすると、どんな形の自主的遵守も出発点から成り立ちにくい
    今こそ、こうした問題に再び戦闘的に向き合う姿勢を常態化し、自分のコンピューターを自分の望む形で使う自由を、攻撃的かつ対立的に守らなければならない

    • HNでFirefoxの話が出ると、たいてい完璧な解決策の誤謬が噴き出すのに、こういうメッセージが大きく支持されているのは興味深い
      ソフトウェア業界はChromeが広告ソフトウェアだと知りながら、自分や親族のコンピューターに入れて歓迎してきたし、代替へ切り替えるコストが極めて低いのに切り替えなかったのを見ると、人々がこの件で戦闘的に動くかは懐疑的だ
    • その通り。ミレニアル世代として、市民的不服従があった時代のほうが良かったと感じる
      消費者がより良いインターネットを得られただけでなく、より良い会社が報われ、勝つこともあった。思い出補正かもしれないが、不服従が必要なもう一つの理由は、相手側も金のためにそうしているからだ
      具体的に、Cookieに対してAdblockのようなことはできるだろうか? ブロックよりも汚染されたデータのほうが効果的に思える。データを求めるならデータを与えればいい。合意なしに要求するなら、汚染データは単なる悪意ある遵守にすぎない
      DNTの拡張として、「DNTヘッダー送信後に同意を要求する場合、ユーザーエージェントは任意の合成データを生成できる」のように標準化できるかもしれない
    • 厳密に言えば、その変化を映しているからこそ優れた風刺だ。元ネタのA Modest Proposalの影響を強く受けている
    • コンピューターを自分の望む形で使う自由を攻撃的かつ対立的に守ろうとしても、悲しいことに結局は常に消耗戦になる
      企業は、ユーザーの抵抗コストを時間と苛立ちの面で引き上げるだけで、長期的には勝てることを分かっているようだ。ブラウザーからApp Store、あらゆるSaaSへと続くプラットフォームの歴史と方向性は悲劇的で、各段階でユーザーの統制権は縮小し続けてきた
      今の大きな問いは、AIが企業中心になるのか民主化されるのか、またどの程度そうなるのかだが、楽観はしにくいと思う
      あるいは、あと60年Do-Not-Stabをクリックするのが嫌なら、羊飼いのようなものになるのかもしれない。10年くらいはうまくいくだろうが、最終的には車・食洗機・電灯のスイッチを使うにもDo-Not-Stabをクリックしなければならない時点が来て、そのとき企業が勝つ
      結局は「刺す前に聞いてくれるだけでもありがたい、むしろ自分が借りを作っているくらいだ」と言うようになり、有名な羊飼いインフルエンサーになった後に降り注ぐ愛と金を期待するようになる。いいねと購読をお願いします。いつものように企業万歳
    • それを始めるのに最も良かった時期は19日前だったが、もうここまで来てしまった。シートベルトを締めるしかない
  • Do-Not-Stabヘッダーは、あるブラウザーエンジンがデフォルトで有効にしており、ユーザーが刺されることに明示的に同意しなければならない仕組みが刺傷産業の収益を損ねたため廃止された、という点が重要だ
    幸い、誰かが非標準の代替としてGeneral Assault Controlを作っており、これも値が一つしかないので、Sec-GACを1に設定してWebサイトに攻撃しないよう求めることができる
    設計上、このヘッダーは拡張不能なので、今後は残虐な刺傷と顔にパイを投げるコメディーを区別するのには使えない
    法的要件のため、General Assault Controlヘッダーはデフォルトでは有効にできない。Coloradoのような米国の州では、明示的同意ではなく明示的拒否を求めているからだ
    これは、ほとんどのユーザーは刺されることを望まないはずなので、Coloradoの繁栄する刺傷・銃撃産業を保護する
    この機能はデフォルトで無効であるべきだが、仕様を作った組織は、顧客に対し、この機能を実装した周辺的なブラウザーをダウンロードするよう強く推している。ただし有効化にはabout:configが必要かもしれない
    ユーザーベースが小さいため、標準に従わないWebサイトは、攻撃しないでほしいという要求そのものを利用して、刺傷や銃撃をより精密にすることができる
    エンドユーザーはWebサーバーに対して、GACヘッダー対応の有無を記したJSONファイルを要求できるが、非準拠サーバーはこのURLリクエストを利用してユーザーの歯を蹴り飛ばすこともできる

    • いまや欧州規則に準拠するため、Webサイト利用前に、ユーザーが拒否できる個人向け暴力犯罪の一覧を表示するのが慣例になっている
      こうすることで、刺傷に同意しないことが常に能動的選択となり、刺されたり障害を負わされたりすることを望むユーザーが、その機会を誤って逃さないようにできる
    • なぜ二値でなければならないのか? マゾヒストや賭けに負けて少しだけ刺されたい人、あるいは首を絞められたい人はどうするのか?
  • これはあまりにも露骨なEU官僚制びいきだ。刺傷に非友好的な事業環境のせいで、欧州に大手SaaS企業がないのも当然だ

    • その通り、EUはなぜstabtech産業が平和的に刺すのを放っておけないのだろうか
    • 事実関係は違うと思う。Skype, Spotify, Revolut, Zendesk, Transferwiseのような企業があり、SaaSとして運営される欧州ユニコーンもかなり多い
      米国や中国の企業よりは少ないが、一部は買収されたり、他国へ拠点を移したりしている
  • クリック1,000回あたり20ドルというお手頃価格で、近日登場予定のEUおよびCaliforniaのWebベース刺傷規制に完全準拠した刺傷同意バナーを提供します

    • 買います。「必須」「ターゲティング」「パフォーマンス」「機能性」の刺傷の区分は本当に地雷原だ
      しかも、私が一緒に働いている846の刺傷ブローカーをどう適切に開示すればいいのかも見当がつかない。こんなふうに官僚主義が立ちはだかって、人はどうやって刺傷で生計を立てればいいのか
    • 参考までに、調査によれば競合他社のバナーではユーザーの刺傷同意率は95%だが、当社のバナーは適切に拒否するまでの時間が50%長くかかるため、98%の同意率を示している。だから当社のものを使うべきだ
  • このWebサイトは、MtFトランスジェンダー、ファーリー、自分をロボットだと公言する人々、そしてそれらの組み合わせから成るウェブリングの一部のように見える。中には三人称代名詞しか使わない人もいる
    皆、何らかの形でシステム管理者かプログラマーのようだ
    自分の部族ではないが、このウェブリングの中に昔のインターネットの美しい反映を見ることができて、とてもうれしい

  • Do Not Track ヘッダーは、2009年に研究者 Christopher Soghoian と Sid Stamm が最初に提案し、Mozilla Firefox がこの機能を実装した最初のブラウザーだった。
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • 実際にどれだけ多くのウェブ開発者が Do Not Track を尊重しているのか気になる。
      自分が作ったすべてのサイトでも、雇用主のために作ったサイトでも守っている。もっとも、雇用主が知らないおかげでできている気もする。
      Do-Not-Track を有効にして閲覧している場合は、クッキー同意バナーもスキップし、セッション・ログインクッキーのように厳密に必要なもの以外は望んでいないものと見なすようにした。
      Google Analytics も入れず、個人識別情報なしでページの単純な閲覧数カウンターだけを増やしている。
    • 2002年に W3C が勧告した P3P という、はるかに洗練された標準があった。企業が個人データをどう利用できるかを説明する形式を定義したものらしい。
      ただ、複雑すぎて「執行力が弱い」と見なされていたようだ。
      GDPR まで生き残っていれば執行力を持てたかもしれないが、その前に Mozilla がサポートを削除した。
  • 「すべての会社はユーザーのことが本当に嫌いだから」というのは正確ではない。
    実際にはユーザーを嫌っているというより、ユーザーの金を愛し、ユーザーそのものには堕落した無関心を示している、という方が近い。

    • ユーザーを嫌ってはいないが、食い物にしようとしている: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • いや、彼らはユーザーから稼げる金を愛している。自分の知る限り、こういう連中に直接金を払っている人はいない。
      データを収集した怪しい会社が、ユーザーに関するデータを別の怪しい会社に売る構造だ。そしてそのすべてがユーザーには無料で提供されている。
    • このスケッチの後半を思い出す: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • 資本主義が人に害をなすと今さら発見したみたいだ。誰が想像しただろうね。
  • 落ち着こう。組織にはほかにも十分な選択肢がある。Do-Not-Shoot、Do-Not-Rape、Do-Not-Stone のサポートはまだないだろうから、家族みんなで楽しめる。

    • robots.txt も忘れてはいけない。
  • RFC が request for comment なら、ずっと気になっていたことがある。コメントはどうやって残すのか、そして誰が残すのか?

    • 大学のネットワーキングの授業で聞いた逸話では、RFC という名前は少し冗談めかして付けられたもので、提案が RFC 段階に達したらコメントはあまり歓迎されない、という意味だったそうだ。
      意見はそのずっと前に出すべき、という話だった。
      この逸話が本当かは分からないが、RFC が通常その標準に対する最終判断のように機能するのは確かだ。
      実際、RFC は ID を受け取ると修正も撤回もできず、別の RFC に置き換えられることしかない。
    • 初期の RFC は実際にアイデアや提案への意見募集であり、目標は標準やベストプラクティスの保存記録を作ることではなく、会話を始めることだった。
      時間がたつにつれて出版手続きがより公式化され、文書を読むコミュニティが大きくなるにつれて目標も変わった。
      今日では、ベストプラクティスのガイド、実験的プロトコル、情報提供文書、そしてもちろんインターネット標準まで含めて 8,500 本を超える RFC が出版されている。
      https://www.rfc-editor.org/rfc/rfc8700.html
      今では「インターネット標準」の段階に到達する前に意見を出す必要がある。
    • RFC は IETF の下で運営されている。RFC は特定のグループで開発され、そのグループに参加することができ、作業は通常メールで進む。
      自分が参加していた頃には対面会議もあったが、出席は必須ではなかった。
    • 別の解釈としては「request for compliance」、つまり 遵守要請 というものもある。
    • 正誤表を提出することはできる。名前を RFE に変えるべきかもしれない。
  • このヘッダーも結局、どうせ刺してくる会社が使う エントロピーの断片 がもうひとつ増えるだけではないか?

    • 法的な裏付けがなければその通り。もしそれがあれば話はまったく違っていただろう。
    • ヘッダーの悪用を違法にすれば、違法な連中だけがユーザーを刺すことになる。