RFC 35140: นโยบาย HTTP Do-Not-Stab (2023)
(5snb.club)- ผ่านการตั้งสมมติฐานเชิงเสียดสีว่าเว็บไซต์สามารถแทงผู้ใช้ได้
Do-Not-Stabจึงทำให้ผู้ใช้ส่งค่าความต้องการว่า ไม่อยากถูกแทง ผ่าน HTTP header - ไวยากรณ์ของ header มีเพียง
Do-Not-Stab: 1เท่านั้น และหากไม่มี header จะถือว่าผู้ใช้มีความต้องการว่า อยากถูกแทง - ห้ามให้ user agent เปิดค่านี้เป็นค่าเริ่มต้น และมีกฎว่าหากเป็นสัญญาณที่ถูกตั้งไว้เป็นค่าปริยาย เว็บบริการสามารถเพิกเฉยและแทงผู้ใช้ได้
- Microsoft ให้คำมั่นว่าจะรองรับ
Do-Not-Stabเฉพาะภายใน EEA เท่านั้น และนอก EEA ต่อให้ตั้ง header ไว้ก็ยัง อาจถูกแทงได้ - เสียดสีแนวทางที่เคารพสิทธิ์การตัดสินใจของบริษัท โดยชี้ว่า ข้อยกเว้นอย่างผลประโยชน์ทางการค้า คำขอจากรัฐ การจัดการความยินยอม และความต้องการของผู้ถือหุ้น อาจมาก่อนความกังวลด้านความปลอดภัย
กฎของ header Do-Not-Stab
Do-Not-Stabเป็น HTTP header ที่ทำให้ผู้ใช้สามารถแจ้งเว็บไซต์ถึงความต้องการของตนเกี่ยวกับการ ถูกแทง ได้- ในฉากหลังเชิงเสียดสี ระบุว่าในช่วง 50 ปีที่ผ่านมา ความก้าวหน้าของอุปกรณ์ต่อพ่วงทำให้เว็บไซต์สามารถแทงผู้ใช้ได้ และถึงขั้นเกิดอุตสาหกรรม Stabbings as a Service ขึ้นมา
- ผู้ไม่หวังดีอาจเพิกเฉยต่อความต้องการของผู้ใช้ได้ แต่เห็นว่าการแทงส่วนใหญ่มิได้เกิดจากผู้ไม่หวังดี หากเกิดจากบริษัทที่ถูกกฎหมาย
- มาตรฐานนี้มอบวิธีให้ผู้ใช้ปฏิเสธการแทงทั้งหมดได้อย่างง่ายดาย แต่ยังคงยกเว้นการแทงที่กฎหมายกำหนด และการแทงที่บริษัทอยากทำอยู่ดี
- ไวยากรณ์มีเพียงแบบเดียว
Do-Not-Stab: 1- หากไม่มี header จะถือว่าผู้ใช้มีความต้องการที่จะถูกแทง
- user agent ต้องไม่ใช้ header นี้เป็น ค่าความต้องการเริ่มต้น
- หากตั้งค่าเช่นนั้น เว็บบริการควรถูกแนะนำให้เพิกเฉยต่อความต้องการดังกล่าวและแทงผู้ใช้
- เพราะการตัดสินว่าผู้ใช้อยากถูกแทงหรือไม่ ไม่ใช่สิ่งที่ user agent ควรตัดสินแทน และต้องเป็นการเลือกอย่างชัดเจนจากผู้ใช้
ขอบเขตการใช้งานและข้อยกเว้น
- Microsoft ให้คำมั่นว่าจะรองรับ header
Do-Not-Stabภายใน EEA หรือ European Economic Area - นอก EEA การรองรับยังอยู่ระหว่างดำเนินการ ดังนั้นถึงจะตั้ง header ไว้ ผู้ใช้ก็ยังอาจถูกแทงได้
- หากประเทศใดออกจาก EEA ผู้ใช้ในประเทศนั้นก็อาจถูกแทงได้
- ข้อยกเว้นของ
Do-Not-Stabได้รับการยอมรับเมื่อผลประโยชน์ทางการค้ามีมากกว่าความกังวลด้านความปลอดภัย- รวมถึงกรณีที่ผู้ใช้ยินยอมให้ถูกแทง และแม้ผู้ใช้จะไม่รู้ว่าตนยินยอมก็ตาม
- การแทงตามคำขอของรัฐบาล แนะนำว่าเว็บไซต์ไม่ควรโต้แย้งความชอบด้วยกฎหมาย และระบุว่าผู้ใช้น่าจะสมควรแล้ว
- การแทงที่มีโอกาสทำให้ผู้ใช้ไม่ตาย
- กรณีที่ผู้ถือหุ้นต้องการ
- หมายเหตุจากบรรณาธิการวิจารณ์สถานการณ์ที่บริษัทต่าง ๆ ทั้งรู้ว่าไม่ควรทำ แต่จะหยุดก็ต่อเมื่อมีการระบุชัดเจนว่าอย่าทำ
- มองว่าเหตุที่ Microsoft เคารพทางเลือกของผู้ใช้เฉพาะใน EEA ก็เพราะมีข้อบังคับอยู่เฉพาะที่นั่น
- ยังวิจารณ์กรณีที่ IE ตั้งค่า Do-Not-Track เป็นค่าเริ่มต้น จนทำให้ทุกคนเพิกเฉยต่อสัญญาณจาก IE
- แนบลิงก์ พรีวิวการเปลี่ยนแปลงใน Windows เพื่อให้สอดคล้องกับ Digital Markets Act ภายใน EEA
- ยกวลี “We and our 756 partners process personal data” มาวิจารณ์อย่างรุนแรงต่อแนวปฏิบัติของ ad tech ที่ประมวลผลข้อมูลส่วนบุคคลร่วมกับพาร์ตเนอร์ 756 ราย
1 ความคิดเห็น
ความเห็นจาก Hacker News
งานเสียดสีนั้นยอดเยี่ยม แต่ประเด็นสำคัญคือมันสะท้อนการเปลี่ยนแปลงทางสังคมที่ใหญ่กว่า ซึ่ง ภาระในการปกป้องอำนาจตัดสินใจของปัจเจกบุคคล ถูกโยนจากสถาบันและหน่วยงานกำกับดูแลไปยังผู้ใช้แต่ละคน
ไม่ว่าจะเป็น Do-Not-Stab หรือ Do-Not-Track ผมมองว่า การปฏิบัติตามโดยสมัครใจ ในรูปแบบใดก็ตามย่อมแทบตั้งต้นไม่ได้อยู่แล้วเมื่อเผชิญแรงกดดันทางการเงิน
ตอนนี้เราควรทำให้ท่าทีการตอบโต้ปัญหาแบบนี้อย่างสู้รบกลับมาเป็นเรื่องปกติอีกครั้ง และต้องปกป้องเสรีภาพในการใช้คอมพิวเตอร์ของตัวเองตามที่ต้องการอย่างแข็งกร้าวและเผชิญหน้า
วงการซอฟต์แวร์รู้ทั้งรู้ว่า Chrome เป็นซอฟต์แวร์โฆษณา แต่ก็ยังปูพรมแดงให้มันด้วยการติดตั้งให้คอมพิวเตอร์ของตัวเองและญาติ ๆ และทั้งที่ต้นทุนในการเปลี่ยนไปใช้ทางเลือกอื่นต่ำมากก็ยังไม่เปลี่ยน เลยค่อนข้างสงสัยว่าผู้คนจะลุกขึ้นมาสู้เรื่องนี้จริงจังหรือไม่
ไม่ใช่แค่ทำให้ผู้บริโภคได้อินเทอร์เน็ตที่ดีกว่า แต่บริษัทที่ดีกว่าก็ได้รับรางวัลและชนะด้วย อาจจะเป็นการมองอดีตสวยงามเกินจริงก็ได้ แต่เหตุผลอีกอย่างที่จำเป็นต้องขัดขืนคืออีกฝ่ายก็ทำแบบนั้นเพราะเงินเหมือนกัน
ถ้าเจาะจงเรื่องคุกกี้ เราทำอะไรแบบ Adblock ได้ไหม? ผมว่า ข้อมูลปนเปื้อน น่าจะได้ผลกว่าการบล็อก ถ้าเขาขอข้อมูล ก็ให้ข้อมูลไป ถ้าเรียกร้องโดยไม่ได้รับความยินยอม ข้อมูลปนเปื้อนก็เป็นแค่การปฏิบัติตามแบบประชดประชันเท่านั้น
อาจทำให้เป็นมาตรฐานในฐานะส่วนขยายของ DNT ได้ เช่น “หากมีการขอความยินยอมหลังจากเฮดเดอร์ DNT user agent อาจสร้างข้อมูลสังเคราะห์แบบสุ่มได้”
ดูเหมือนบริษัทต่าง ๆ รู้ว่าขอแค่เพิ่มต้นทุนการต่อต้านของผู้ใช้ในแง่เวลาและความหงุดหงิด ในระยะยาวพวกเขาก็ชนะได้ ประวัติศาสตร์และทิศทางของแพลตฟอร์ม ตั้งแต่เบราว์เซอร์ไปยัง App Store และ SaaS สารพัดแบบนั้นน่าเศร้า และในทุกขั้นตอน อำนาจควบคุมของผู้ใช้ก็ลดลงเรื่อย ๆ
ตอนนี้คำถามใหญ่คือปัญญาประดิษฐ์จะเป็นศูนย์กลางอยู่ที่บริษัท หรือจะถูกทำให้เป็นประชาธิปไตย และจะเป็นไปได้มากแค่ไหน ซึ่งผมมองโลกในแง่ดีได้ยาก
หรือถ้าไม่อยากคลิก Do-Not-Stab ต่อไปอีก 60 ปี ก็อาจไปเป็นคนเลี้ยงแกะอะไรทำนองนั้นได้ คงใช้ได้ดีสัก 10 ปี แต่สุดท้ายก็จะมาถึงจุดที่ถ้าจะใช้รถยนต์ เครื่องล้างจาน หรือสวิตช์ไฟ ก็ต้องคลิก Do-Not-Stab อยู่ดี และตอนนั้นบริษัทก็ชนะ
สุดท้ายคุณก็จะพูดว่า “แค่เขาถามก่อนแทงก็ควรขอบคุณแล้ว จริง ๆ ฉันเป็นฝ่ายติดหนี้เขาด้วยซ้ำ” และหลังจากกลายเป็นอินฟลูเอนเซอร์คนเลี้ยงแกะชื่อดัง ก็จะตั้งตารอความรักและเงินทองที่จะหลั่งไหลมา ฝากกดไลก์และติดตามด้วย บริษัทจงเจริญเหมือนเคย
จุดสำคัญคือเฮดเดอร์ Do-Not-Stab เคยถูกเปิดเป็นค่าเริ่มต้นในเอนจินเบราว์เซอร์ตัวหนึ่ง และถูกยกเลิกเพราะโครงสร้างที่ผู้ใช้ต้องยินยอมอย่างชัดเจนต่อการถูกแทงนั้นกระทบรายได้ของ อุตสาหกรรมการแทง
โชคดีที่มีคนสร้างทางเลือกที่ไม่ใช่มาตรฐานชื่อ General Assault Control ขึ้นมา และอันนี้ก็มีค่าเพียงค่าเดียวเช่นกัน จึงตั้ง Sec-GAC เป็น 1 เพื่อร้องขอให้เว็บไซต์อย่าโจมตีได้
ตามการออกแบบแล้วเฮดเดอร์นี้ขยายไม่ได้ ดังนั้นในอนาคตจะใช้แยกแยะระหว่างการไล่ฟันอย่างโหดร้ายกับมุกตลกปาพายใส่หน้าไม่ได้
ด้วยข้อกำหนดทางกฎหมาย เฮดเดอร์ General Assault Control จึงเปิดเป็นค่าเริ่มต้นไม่ได้ เพราะรัฐในสหรัฐฯ อย่าง Colorado กำหนดให้ต้องปฏิเสธอย่างชัดเจน ไม่ใช่ยินยอมอย่างชัดเจน
เรื่องนี้ช่วยปกป้องอุตสาหกรรมการแทงและการยิงปืนที่รุ่งเรืองของ Colorado เพราะผู้ใช้ส่วนใหญ่น่าจะไม่อยากถูกแทง
ฟีเจอร์นี้ต้องปิดไว้เป็นค่าเริ่มต้น แต่องค์กรที่จัดทำสเปกกำลังผลักดันลูกค้าอย่างหนักให้ดาวน์โหลดเบราว์เซอร์ชายขอบที่ติดตั้งฟีเจอร์นี้ อย่างไรก็ตาม ถ้าจะเปิดใช้อาจต้องใช้ about:config
เนื่องจากฐานผู้ใช้เล็ก เว็บไซต์ที่ไม่ทำตามมาตรฐานอาจใช้คำขอว่าอย่าโจมตีนี้เองเพื่อทำให้การแทงและการยิงแม่นยำยิ่งขึ้น
ผู้ใช้ปลายทางสามารถขอไฟล์ JSON จากเว็บเซิร์ฟเวอร์ที่ระบุว่ารองรับเฮดเดอร์ GAC หรือไม่ แต่เซิร์ฟเวอร์ที่ไม่ปฏิบัติตามก็อาจใช้คำขอ URL นี้เพื่อเตะฟันผู้ใช้ได้
การทำแบบนี้ทำให้การไม่ยินยอมให้ถูกแทงเป็นการเลือกเชิงรุกเสมอ และทำให้ผู้ใช้ที่อยากถูกแทงหรือถูกทำให้พิการไม่พลาดโอกาสนั้นโดยไม่ตั้งใจ
นี่มันเข้าข้าง ระบบราชการของ EU แบบโจ่งแจ้งเกินไป ไม่น่าแปลกใจเลยที่ยุโรปไม่มีบริษัท SaaS รายใหญ่ เพราะสภาพแวดล้อมทางธุรกิจไม่เป็นมิตรต่อการแทง
แม้จะน้อยกว่าบริษัทสหรัฐฯ และจีน แต่บางส่วนก็ถูกซื้อกิจการไปแล้ว หรือย้ายฐานไปประเทศอื่น
ในราคาย่อมเยาเพียง 20 ดอลลาร์ต่อ 1,000 คลิก ผมจะให้บริการ แบนเนอร์ยินยอมให้แทง ที่ปฏิบัติตามกฎระเบียบการแทงบนเว็บของ EU และ California ที่กำลังจะออกมาอย่างครบถ้วน
แถมยังมืดแปดด้านว่าจะเปิดเผย โบรกเกอร์การแทง 846 ราย ที่ผมทำงานด้วยอย่างถูกต้องได้อย่างไรอีก ระบบราชการขวางกั้นแบบนี้ แล้วคนเราจะทำมาหากินด้วยการแทงได้อย่างไร
เว็บไซต์นี้ดูเหมือนเป็นส่วนหนึ่งของ webring ที่ประกอบด้วยทรานส์เจนเดอร์ MtF, furry, คนที่ระบุตัวเองว่าเป็นหุ่นยนต์ และการผสมผสานของกลุ่มเหล่านี้ บางคนใช้แต่สรรพนามบุรุษที่สามด้วย
ทุกคนดูเหมือนจะเป็นผู้ดูแลระบบหรือโปรแกรมเมอร์ในรูปแบบใดรูปแบบหนึ่ง
ไม่ใช่เผ่าของผม แต่ผมดีใจมากที่ได้เห็นภาพสะท้อนอันงดงามของ อินเทอร์เน็ตยุคเก่า ใน webring นี้
เฮดเดอร์ Do Not Track ถูกเสนอครั้งแรกในปี 2009 โดยนักวิจัย Christopher Soghoian และ Sid Stamm และ Mozilla Firefox เป็นเบราว์เซอร์แรกที่นำฟีเจอร์นี้ไปใช้งาน
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
ทุกไซต์ที่ผมทำ รวมถึงไซต์ที่ทำให้นายจ้าง ผมก็ทำตามนะ เพียงแต่น่าจะเป็นไปได้เพราะนายจ้างไม่รู้
ผมทำให้ถ้าเปิด Do-Not-Track แล้วท่องเว็บ ก็จะข้ามแบนเนอร์ยินยอมคุกกี้ไป และถือว่าไม่ต้องการอะไรนอกจากสิ่งที่จำเป็นอย่างเคร่งครัด เช่น คุกกี้เซสชันและคุกกี้ล็อกอิน
ผมไม่ใส่ Google Analytics ด้วย แค่เพิ่มตัวนับจำนวนการเข้าชมหน้าแบบครั้งเดียวโดยไม่มีข้อมูลระบุตัวบุคคล
แต่ดูเหมือนว่ามันซับซ้อนเกินไปและถูกมองว่า “ขาดอำนาจบังคับใช้”
ถ้ามันอยู่รอดมาถึง GDPR ได้ อาจได้อำนาจบังคับใช้ก็เป็นได้ แต่ Mozilla ถอดการสนับสนุนออกไปก่อนหน้านั้นแล้ว
คำว่า “เพราะทุกบริษัทเกลียดผู้ใช้จริง ๆ” นั้นไม่ค่อยแม่น
ไม่ใช่ว่าพวกเขาเกลียดผู้ใช้จริง ๆ แต่ใกล้เคียงกับการรัก เงินของผู้ใช้ และมีความเฉยเมยอย่างเสื่อมทรามต่อผู้ใช้เองมากกว่า
โครงสร้างคือบริษัทน่าสงสัยที่เก็บข้อมูล เอาข้อมูลเกี่ยวกับผู้ใช้ไปขายให้บริษัทน่าสงสัยอื่น ๆ และทั้งหมดนี้ก็ถูกให้ใช้ฟรีแก่ผู้ใช้
ใจเย็น ๆ กันก่อน องค์กรต่าง ๆ ยังมีทางเลือกอื่นอีกเพียบ การรองรับ Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone ก็คงยังไม่มีอยู่ดี ดังนั้นทั้งครอบครัวก็สนุกกันได้
ถ้า RFC คือ request for comment ผมสงสัยมาตลอดว่า จะทิ้งคอมเมนต์อย่างไร และใครเป็นคนทิ้งคอมเมนต์กันแน่?
ความเห็นควรถูกเสนอมาก่อนหน้านั้นนานแล้ว
ผมไม่รู้ว่าเรื่องเล่านี้จริงหรือไม่ แต่ก็จริงที่ RFC มักทำหน้าที่เหมือนคำตัดสินสุดท้ายของมาตรฐานนั้น
ในทางปฏิบัติ เมื่อ RFC ได้ ID แล้ว จะไม่สามารถแก้ไขหรือถอนคืนได้ ทำได้แค่ถูกแทนที่ด้วย RFC ฉบับอื่น
เมื่อเวลาผ่านไป กระบวนการเผยแพร่เป็นทางการมากขึ้น และชุมชนที่บริโภคเอกสารเหล่านี้ใหญ่ขึ้น เป้าหมายก็เปลี่ยนไป
ทุกวันนี้มี RFC เผยแพร่มากกว่า 8,500 ฉบับ ครอบคลุมทั้งแนวทางปฏิบัติที่ดี โปรโตคอลเชิงทดลอง เอกสารให้ข้อมูล และแน่นอน รวมถึงมาตรฐานอินเทอร์เน็ตด้วย
https://www.rfc-editor.org/rfc/rfc8700.html
สมัยนี้ต้องให้ความเห็นก่อนที่มันจะไปถึงขั้น “มาตรฐานอินเทอร์เน็ต”
ตอนที่ผมเคยเข้าร่วม ก็มีการประชุมแบบพบหน้าด้วย แต่ไม่ได้บังคับให้เข้าร่วม
สุดท้ายแล้วเฮดเดอร์นี้จะไม่กลายเป็น เศษเอนโทรปี อีกชิ้นหนึ่งที่บริษัทซึ่งยังไงก็จะแทงผู้ใช้นำไปใช้หรือ?