Firefox ยุติการรองรับฟีเจอร์ "Do Not Track"
(windowsreport.com)- การตั้งค่า Do Not Track (DNT) ที่ใช้ส่งเจตนาปฏิเสธการติดตามไปยังเว็บไซต์จะหายไปตั้งแต่ Firefox 135 และมีการยืนยันแล้วว่าตัวเลือกนี้ถูกถอดออกในบิลด์ Nightly
- DNT เป็นวิธีแจ้งทางเลือกของผู้ใช้ผ่าน HTTP header แต่เว็บไซต์จำนวนมากไม่ปฏิบัติตามสัญญาณนี้ ทำให้ประสิทธิผลต่ำลง
- Mozilla เห็นว่าสัญญาณ DNT ในบางกรณีอาจ ลดความเป็นส่วนตัวลงได้ และยืนยันการถอดออกในรายการ Bugzilla กับเอกสารสนับสนุน
- ทางเลือกคือการตั้งค่า “แจ้งเว็บไซต์ว่าอย่าขายหรือแชร์ข้อมูลของฉัน” ซึ่งอิงกับ Global Privacy Control (GPC)
- ยังไม่ชัดเจนว่าผู้ใช้เดิมที่เปิด DNT ไว้จะมีพฤติกรรมอย่างไรเมื่ออัปเกรดเป็น Firefox 135 ส่วน Chrome และ Microsoft Edge ยังคงมีการตั้งค่า DNT ต่อไป
ถอดการตั้งค่า DNT ออกจาก Firefox 135
- Mozilla ถอดการตั้งค่า Do Not Track (DNT) ออกจาก Firefox
- เวอร์ชันที่มีผลคือ Firefox 135 ขึ้นไป
- สามารถตรวจสอบการเปลี่ยนแปลงได้แล้วในบิลด์ Nightly
- ใน “Website Privacy Preferences” ของ Nightly ตัวเลือก “Send websites a ‘Do Not Track’ request” หายไปแล้ว
- รายการ Remove DNT control from about:preferences#privacy ใน Bugzilla ก็ยืนยันการเปลี่ยนแปลงเดียวกัน
ข้อจำกัดของ DNT และทางเลือก GPC
- DNT คือการตั้งค่าของเบราว์เซอร์ที่ผู้ใช้ใช้ส่งเจตนาปฏิเสธการติดตามไปยังเว็บไซต์
- เมื่อเปิดใช้งาน จะส่ง HTTP header พิเศษ ไปยังเว็บไซต์เพื่อแสดงทางเลือกของผู้ใช้ที่ไม่ต้องการถูกติดตาม
- DNT ถูกนำเสนอในปี 2009 โดย Christopher Soghoian และ Sid Stamm และ Firefox เป็นเบราว์เซอร์แรกที่นำฟีเจอร์นี้ไปใช้งาน
- เหตุผลในการถอดออกคือเว็บไซต์จำนวนมากไม่เคารพสัญญาณ DNT และในบางกรณีอาจทำให้ ความเป็นส่วนตัวลดลง
- เอกสารสนับสนุนของ Firefox ระบุว่าตั้งแต่ Firefox 135 เป็นต้นไป เช็กบ็อกซ์ DNT จะถูกถอดออก
- เอกสารสนับสนุนระบุว่าเว็บไซต์จำนวนมากไม่เคารพการแสดงค่ากำหนดด้านความเป็นส่วนตัวนี้
- ทางเลือกที่ Firefox แนะนำคือ Global Privacy Control
- การตั้งค่าที่เกี่ยวข้องคือ “Tell websites not to sell or share my data”
- ตัวเลือกนี้สร้างอยู่บน GPC
- GPC ได้รับการเคารพจากเว็บไซต์เพิ่มขึ้นเรื่อย ๆ และในบางภูมิภาคมีการบังคับใช้ตามกฎหมาย
- ยังไม่ชัดเจนว่าผู้ใช้เดิมที่เปิด DNT ไว้จะได้รับผลอย่างไรเมื่ออัปเกรดเป็น Firefox เวอร์ชันที่ได้รับผลกระทบ
- อาจมีข้อความ “Firefox no longer supports Do Not Track” แสดงขึ้น
- หรือยังมีความเป็นไปได้ว่าสัญญาณจะถูกส่งไปยังเว็บไซต์ต่อไป
- เบราว์เซอร์อื่น เช่น Google Chrome และ Microsoft Edge ยังมี การตั้งค่า DNT อยู่
- Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
- Microsoft Edge: Settings > Privacy, Search, and Services > เปิด “Send Do Not Track requests”
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เคยทำงานอยู่ตอนที่ Mozilla นำฟีเจอร์นี้ไปใช้งาน
เว็บไซต์จะรองรับหรือไม่นั้นเป็นเรื่องสมัครใจล้วน ๆ และช่วงแรกมีเพียงไม่กี่เว็บที่รองรับ
ภายในมีความเห็นจำนวนมากว่าควรเปิดเป็นค่าเริ่มต้น แต่ก็มีเหตุผลคัดค้านว่า หากทำแบบนั้นก็จะไม่มีใครเคารพมันอยู่ดี ประเด็นคือจะมีแพลตฟอร์มติดตามตัวไหนกันที่จะยอมไม่ติดตามเฉพาะ 0.1% ที่เข้าไปตั้งค่าแล้วเปิดเอง
สุดท้าย Internet Explorer เปิดเป็นค่าเริ่มต้นและได้กระแสตอบรับจากสื่อที่ดี แต่พอทุกคนเริ่มเพิกเฉย ก็เท่ากับฆ่าฟีเจอร์นี้ไปเลย
โดยรวมแล้วดีใจที่ฟีเจอร์นี้หายไป จริง ๆ แล้วมันไม่ได้ทำอะไรเลย และกลับทำให้ดูเหมือนว่าช่วยได้มาก จึงให้แค่ ความรู้สึกปลอดภัยปลอม ๆ เท่านั้น
อย่างไรก็ตาม อยากให้ โมดัลคุกกี้ ของแต่ละเว็บถูกยกระดับมาอยู่ในระดับเบราว์เซอร์ คงมีหลายเหตุผลที่ยังไม่เกิดขึ้น แต่เหตุผลใหญ่ข้อหนึ่งน่าจะขึ้นต้นด้วย G และลงท้ายด้วย Oogle
ถ้าเปิดฟิลเตอร์ Cookie Banners และ Annoyances ในการตั้งค่า uBlock Origin โมดัลจะถูกลบออกเงียบ ๆ ในเบื้องหลัง และคุณก็ท่องเว็บต่อได้ เนื่องจากไม่เคยกดยินยอม ในเชิงฟังก์ชันแล้วจึงควรเทียบเท่ากับการปฏิเสธในแบนเนอร์
สำหรับเบราว์เซอร์ห่วย ๆ ที่ไม่รองรับ uBlock Origin เช่น Chrome บน iOS หรือ Android บุ๊กมาร์กเล็ต Kill Sticky ก็ทำงานคล้ายกัน: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
คิดถึงยุคที่เบราว์เซอร์รุ่นเก่าให้ความสำคัญกับผู้ใช้ และเปิดของอย่าง ตัวบล็อกป็อปอัป เป็นค่าเริ่มต้น
https://www.5snb.club/posts/2023/do-not-stab/
เราได้นำ DNT ไปใช้งานในโครงสร้างพื้นฐาน edge แล้ว และพร้อมจะปล่อยใช้งาน
แต่ Microsoft ทำลายข้อตกลงนั้นด้วยการเปิดเป็นค่าเริ่มต้น ท่ามกลางสงครามกับ Google และหลังจากความทะเยอทะยานด้าน ad tech ของตัวเองจากการซื้อ aQuantive จบลงด้วยการบันทึกด้อยค่ามูลค่า 6 พันล้านดอลลาร์ นั่นกลายเป็นหมัดน็อกสำหรับทุกฝ่าย
อุตสาหกรรมโฆษณาไม่มีทางยอมรับ เวอร์ชัน opt-out ของ DNT อยู่แล้ว มันใช้ได้เมื่อมีคนส่วนน้อยที่สนใจเปิดเอง แต่เมื่อเว็บเบราว์เซอร์ที่ครองตลาดในตอนนั้นเลือกแทนผู้ใช้ทั้งหมด มันก็ไปต่อไม่ได้
เข้าใจดีว่าทำไมผู้คนถึงเกลียดการติดตามและโฆษณาแบบปรับให้เหมาะกับแต่ละคน ช่วง 10 ปีที่ผ่านมามันล้ำเส้นมากขึ้น แต่ในตอนนั้น อย่างน้อยมันก็จำเป็นต่อ เว็บเชิงพาณิชย์
วิธีเดียวที่จะหยุดการติดตามได้คือกฎหมายหรือกฎระเบียบ วิธีแก้ทางเทคนิคเป็นการแข่งขันสะสมอาวุธที่ไม่มีวันจบ และสำหรับผู้ใช้ปลายทางก็น่าจะเป็นศึกที่แพ้เสียมากกว่า
DNT เป็นวิธีที่ผู้บริโภคแสดงความสนใจว่าไม่ต้องการถูกติดตาม และทำให้บริษัทต่าง ๆ ต้องอยู่ในจุดที่กำลังเพิกเฉยต่อคำขอด้านความเป็นส่วนตัวอย่างชัดเจนของผู้บริโภค
น่าเสียดายที่ไม่มีใครใช้ประโยชน์จากจุดนั้นได้อย่างมีประสิทธิภาพ
เข้าใจได้ว่าหลายคนมีความรู้สึกไม่ดีต่อทิศทางล่าสุดของ Mozilla แต่ในกรณีนี้ ต่อให้มองแย่ที่สุด ก็เป็นเพียงการลบฟีเจอร์ที่แทบไม่มีใครเคารพอยู่แล้ว
ฟีเจอร์นี้ตั้งอยู่บน ระบบเกียรติยศ และแม้แต่ระบบเกียรติยศของสวิตเซอร์แลนด์ก็ยังมีการสุ่มตรวจ เบราว์เซอร์ไม่มีทางบังคับใช้ฟีเจอร์นี้ได้เลย
แดกดันที่มันเคยถูกใช้เป็นข้อมูลเพิ่มเติมสำหรับติดตามคนที่ใส่ใจความเป็นส่วนตัวมากพอจนตั้งใจเปิดมันเองด้วย
Firefox ได้นำทางเลือกแทนอย่าง Global Privacy Control ไปใช้งานแล้ว แต่ก็มีปัญหาแบบเดียวกันพอดี และมีเว็บไซต์ที่เคารพ GPC น้อยกว่าอีก
มันไม่ใช่วิธีแก้ปัญหาที่แท้จริงสำหรับแนวปฏิบัติไซเบอร์สตอล์กกิงที่กลายเป็นเรื่องปกติของเว็บไซต์ในปัจจุบัน แต่ก็พูดไม่ได้ว่าไร้ประโยชน์โดยสิ้นเชิง
ถ้าทำแบบนั้น มันคงมีคุณค่าทางข่าว และอย่างน้อยใน EU ก็อาจถูกพิจารณาเป็นสิ่งที่ควรถูกบังคับใช้ด้วยกฎระเบียบ
แต่ในความเป็นจริง Do Not Track ไม่มีโอกาสสำเร็จตั้งแต่แรก และผมมองว่านั่นเป็นเรื่องที่จงใจ
ถ้ามีใครพึ่งพาสิ่งนี้เพียงอย่างเดียวเพื่อความเป็นส่วนตัวออนไลน์ ก็ควรได้รับการให้ความรู้
ในมุมนั้น การลบออกอาจทำให้บางคนหันไปใช้การป้องกันที่แข็งแรงกว่าบนเบราว์เซอร์ และแม้จะเล็กน้อยมาก แต่โดยรวมก็อาจช่วยความเป็นส่วนตัวได้
ถึงเวลาต้องเอาออกแล้ว มันไม่เคยให้ผลลัพธ์ที่มีความหมายด้านการคุ้มครองความเป็นส่วนตัวเลย กลับให้สัญญาณเพิ่มอีกอย่างที่ใช้ระบุผู้ใช้แบบไม่ซ้ำและปรับปรุงการติดตามได้ จึงเกิดผลตรงข้าม
อย่างไรก็ตาม โดยรวมแล้ว การป้องกันการติดตาม แทบจะเป็นการต่อสู้ที่แพ้ตั้งแต่ต้น ถ้าไปที่ https://amiunique.org/ ก็จะเข้าใจเหตุผล
ผมใช้มาตรการป้องกันทั้งหมดที่ทำได้ใน Firefox, โหมดป้องกันการติดตาม “strict” และ uBlock Origin แต่ก็ยังเลี่ยง การติดตามโดยบุคคลที่หนึ่ง ไม่ได้
ตัวอย่างที่น่าประทับใจคือ ทุกวันนี้เบราว์เซอร์สามารถเปิดเผยจำนวนคอร์ CPU ของอุปกรณ์ให้เว็บไซต์ได้ แค่นี้ก็กรองผู้ใช้ได้ 80–90% แล้ว และเมื่อรวมกับ user agent, IP, ภาษา ก็แทบจะระบุตัวตนได้แบบไม่ซ้ำ
https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...
ตามอุดมคติคือในทุกเบราว์เซอร์ หรืออย่างน้อยใน Firefox เมื่อไซต์พยายามใช้ฟีเจอร์ขั้นสูงที่อาจเปิดทางให้ติดตามได้ ก็ควรมีไอคอนปรากฏบนแถบที่อยู่ และอนุญาตได้เป็นรายกรณี
พูดง่าย ๆ คือไม่ใช่ NoScript แต่เป็น Low script
ต่อให้วันนี้จัดการทุกองค์ประกอบได้ somehow การอัปเดตเบราว์เซอร์ครั้งถัดไปก็อาจเปิดสัญญาณใหม่ได้ และเราก็ไม่อาจเชื่อได้ว่า amiunique.org มองเห็นจุดข้อมูลระบุตัวตนทั้งหมด สุดท้ายมันคือการแข่งขันสะสมอาวุธที่แพ้แน่นอน
สิ่งที่ต้องการคือให้ในแต่ละไซต์ที่เข้าไป คุณอยู่ในสถานะ เฉพาะตัวที่แตกต่างกัน ถ้าปิด JavaScript เป็นค่าเริ่มต้นจนไซต์ไม่สามารถเก็บจุดข้อมูล 90% ที่เบราว์เซอร์เปิดเผยได้เลย ก็ยิ่งดี
การป้องกันที่แข็งแกร่งที่สุดน่าจะเป็นการเปลี่ยน IP address ด้วย VPN และสุ่ม user agent กับเบาะแสอื่น ๆ
อีกสิ่งที่ต้องทำควบคู่กันคือทำให้สิ่งนั้น ผิดกฎหมาย
DNT ให้ความรู้สึกเหมือนเป็นความพยายามแบบ “รีบร้อน” ที่จะบรรลุอย่างหลังโดยไม่มีแรงหนุนทางกฎหมาย
มีคนเผยแพร่ timing attack polyfill ที่อนุมานข้อมูลนี้ได้ และตอนแรกก็เสนอ API navigator.hardwareConcurrency เป็นตัวแทนทางเลือก
นอกจากประโยชน์พื้นฐานของ API นี้แล้ว ผู้ผลิตเบราว์เซอร์ยังมองว่าเว็บไซต์ไม่จำเป็นต้อง benchmark อุปกรณ์ของผู้ใช้เพื่อหาค่านี้อีกต่อไป จึงช่วยประหยัด อายุแบตเตอรี่ ได้
การเอาฟีเจอร์นี้ออกบั่นทอน อำนาจการตัดสินใจของผู้ใช้ ผู้ใช้ Firefox จะต้องเจอพรอมป์ขอความยินยอมที่น่ารำคาญมากขึ้น
การตั้งค่าเริ่มต้นของ Transcend Consent Management คือถ้าเปิด DNT ไว้ จะยกเว้นผู้ใช้ออกจากวัตถุประสงค์การติดตามที่ไม่จำเป็นทั้งหมด และยังระงับพรอมป์ขอความยินยอมอัตโนมัติด้วย แต่ถ้าเปิดแค่ GPC จะปฏิเสธเฉพาะ “การขาย/แชร์ข้อมูล” เท่านั้น
เมื่อเอาสัญญาณความเป็นส่วนตัวแบบรวมศูนย์นี้ออก ผู้ใช้บางส่วนจะไม่สามารถแสดงการ ปฏิเสธทั้งหมด เป็นค่าเริ่มต้นต่อ Transcend Consent Management ได้โดยไม่ต้องไปโต้ตอบกับแบนเนอร์ที่น่ารำคาญ
ผมมองว่าการเปลี่ยนแปลงนี้ถูกผลักดันโดยไม่มีการพิจารณาและรับฟังฟีดแบ็กจากชุมชนเว็บอย่างเหมาะสม Mozilla ดำเนินการเร็วเกินไปจนแทบไม่มีใครทันสังเกตปัญหาก่อนที่ issue จะถูกปิด[1] ที่แย่กว่านั้นคือ Bugzilla ถูกตั้งค่าไว้ว่าเมื่อ issue ถูกปิดแล้ว คนที่ไม่ใช่พนักงาน Mozilla จะคอมเมนต์เพิ่มเติมไม่ได้
ตอนทีม Chrome เสนอให้เอา DNT ออกในปี 2023 ผมก็ส่งฟีดแบ็กคล้ายกันไป[2] พวกเขาพิจารณาฟีดแบ็กแล้ว และตอนนี้ DNT ยังอยู่ใน Chrome โดยการนำออกถูกเลื่อนออกไปอย่างไม่มีกำหนด
มีวิธีคุ้มครองความเป็นส่วนตัวที่ดีกว่าซึ่งไม่ต้องพึ่ง แฟล็กสมัครใจ ที่ส่งไปให้ผู้ลงโฆษณาแล้วหวังว่าเขาจะยอมรับ
โดยเฉพาะในเรื่องความเป็นส่วนตัวและความปลอดภัย ฟีเจอร์ที่ทำให้ดูเหมือนมีประสิทธิภาพอย่างผิด ๆ กลับเป็นอันตราย
ไม่ควรมีใครรู้สึกว่าจะไม่ถูกติดตามเพราะเปิด Do Not Track ไว้ นั่นเป็นความเข้าใจผิด
ดังนั้นการเอาออกจึงถูกต้อง
โดยพื้นฐานแล้ว GPC เหมือนกับ DNT แต่ตาม [1] ระบุว่า “GPC ปรับปรุง DNT ในหลายด้าน”
การรองรับทางกฎหมาย: ต่างจาก DNT ตรงที่ GPC ได้รับการสนับสนุนจากกฎหมายมากกว่า เช่น CCPA ที่กำหนดให้บริษัทต้องเคารพสัญญาณลักษณะนี้
เป้าหมายที่เฉพาะเจาะจงขึ้น: DNT ครอบคลุมการติดตามโดยรวม แต่ GPC มุ่งเน้นที่การหยุดการขายหรือแชร์ข้อมูล จึงเกี่ยวข้องกับความต้องการด้านความเป็นส่วนตัวในปัจจุบันมากกว่า
โอกาสในการนำไปใช้ที่ดีกว่า: GPC ถูกสร้างขึ้นจากความเห็นของหน่วยงานกำกับดูแล ผู้สนับสนุนความเป็นส่วนตัว และผู้นำในอุตสาหกรรม เพื่อให้สอดคล้องกับกฎหมายที่มีอยู่และจัดการช่องโหว่ด้านการทำงานเดิม
แต่โดยแก่นแล้วก็แทบจะเหมือนกัน
ดังนั้นแทนที่จะบอกว่า “Firefox เอา DNT ออก” ดูจะใกล้เคียงกว่าถ้าบอกว่า “Firefox เลิกใช้ GPC เวอร์ชันแรกเริ่มที่ไม่มีประสิทธิภาพ”
[1]: https://www.cookiebot.com/en/global-privacy-control/
สิ่งที่ผมต้องการคือไม่ถูกติดตาม การติดตามมาก่อนการขาย ผมไม่ได้ต้องการปฏิเสธการขาย แต่ต้องการ ปฏิเสธการติดตาม
ถึงจะเรียกว่า “ช่องโหว่ด้านการทำงาน” แต่ความต่างระหว่าง GPC กับ DNT มีแค่ว่า DNT ส่ง
DNT: 1ส่วน GPC ส่งSec-GPC: 1เท่านั้นบริษัทที่ไม่เคารพ DNT ไม่มีทางจะเคารพ GPC หรอก ความต่างเดียวตรงนี้คือ IE ไม่ได้เปิด GPC เป็นค่าเริ่มต้น แต่ DNT เปิดเป็นค่าเริ่มต้น
ถ้าผมเข้าใจถูก DNT กำลังถูกเลิกใช้เพื่อข้อเสนอใหม่อย่าง “Global Privacy Control”: https://w3c.github.io/gpc/
ดังนั้นตอนนี้ Firefox จะส่ง
Sec-GPC: 1แบบเลือกได้ผ่านการตั้งค่าที่ต่างจากการตั้งค่าที่เคยใช้กับ DNT แทน headerDNT: 1ผมไม่ค่อยเข้าใจว่าทำไมถึงมองว่านี่เป็นการเปลี่ยนแปลงที่มีประโยชน์ ในฐานะผู้ดูแลเว็บไซต์ที่เคยทำให้โค้ด anonymization ทำงานเมื่อมี header DNT ผมเพิ่มโค้ดให้ดู Sec-GPC ด้วยได้ก็จริง แต่มันรู้สึกเหมือนเป็น การเปลี่ยนเพื่อจะได้เปลี่ยน
ถ้ามีการติ๊กการตั้งค่าเดียวกันในเบราว์เซอร์ Mozilla ก็แค่ส่งทั้งสอง header ไปเลยก็ได้ การทำให้เว็บไซต์ต้องตรวจทั้งคู่ก็ดูตลกอยู่ ผมเข้าใจว่าอยากให้มีพันธะสัญญาที่แรงกว่าสำหรับ
Sec-GPCเมื่อเทียบกับDNTแต่ตัวหลังเป็นส่วนย่อยของตัวแรกอยู่แล้ว ก็แค่อัปเดตคำอธิบาย checkbox ฝั่งไคลเอนต์แล้วส่งทั้งคู่ไปไม่ใช่หรือสัญญาณ “Do Not Track” มีประโยชน์ในฐานะ สัญญาณ fingerprint เพิ่มเติม มากกว่าการป้องกันการติดตาม
หวังว่าต่อไปจะผลักดันอะไรที่แข็งแรงกว่านี้ได้
ถูกกำหนดให้เลิกใช้ในปี 2018 และถูกเอาออกในปี 2024 สำหรับฟีเจอร์ที่ถูกใช้ตรงข้ามกับจุดประสงค์ของตัวเองโดยสิ้นเชิง ไทม์ไลน์นี้คงไม่ใช่เรื่องน่าประหลาดใจสำหรับใคร
ผมคิดว่าควรปล่อยไว้ แล้วให้ EU ทำให้การเพิกเฉยต่อสิ่งนี้เป็นการละเมิดทางกฎหมาย แบบนั้นก็คงไม่ต้องมี แบนเนอร์คุกกี้ บ้า ๆ นั่นด้วย
อัตราการใช้งานต่ำมากจนฟีเจอร์นี้ถูกนำไปใช้ติดตามผู้คนอยู่