คิดถึงเด็กๆ: วิธีบังคับใช้ Real ID กับทราฟฟิกอินเทอร์เน็ตทั้งหมด (2023)

 (nochan.net)
1 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • การอ้างเรื่อง ยืนยันอายุผู้ใหญ่ แล้วบังคับ อัปโหลดบัตรประจำตัวและเอกสาร หากนำไปสู่ฐานข้อมูลเชิงพาณิชย์แบบรวมศูนย์ ก็อาจขยายจากเว็บผู้ใหญ่ไปสู่การติดตามชื่อจริงบนอินเทอร์เน็ตทั้งระบบได้
  • ก่อนหน้านี้มีทางเลือกแบบแรงเสียดทานต่ำอย่าง ICRA PICS และ RTA Header อยู่แล้ว โดย RTA เพียงเพิ่มหนึ่งบรรทัดในหน้าเว็บหรือ HTTP header ก็ทำให้เบราว์เซอร์ เสิร์ชเอนจิน และครอว์เลอร์ตรวจจับได้ว่าอาจเป็นเนื้อหาสำหรับผู้ใหญ่
  • สถานการณ์จำลองในบทความคือ การออกกฎหมายระดับรัฐจะต่อยอดไปสู่กฎหมายกลางและการแพร่กระจายไปต่างประเทศ ก่อนที่ กรอบการติดตาม จะขยายไปถึงโซเชียลมีเดีย การเงิน อีคอมเมิร์ซ เมสเซนเจอร์ และแพลตฟอร์มเกม
  • เครื่องมือบังคับใช้ระดับครอบคลุมที่ถูกกล่าวถึงได้แก่ การบล็อกหน้าที่ไม่มีลายเซ็น Web Environment Integrity (WEI) และความเป็นไปได้ในการผูกเข้ากับบัตรเครดิต บัตรประจำตัวระดับรัฐ TPM และ Secure Boot
  • ทางเลือกที่เสนอคือ ให้ผู้ดูแลเว็บไซต์ใส่ RTA header ภายใน 1 ปี แล้วให้เบราว์เซอร์และเว็บไคลเอนต์ที่ติดตั้งมาเป็นค่าเริ่มต้นอ่านค่าเพื่อเปิดใช้ การควบคุมโดยผู้ปกครอง โดยเริ่มใช้กับเด็กอายุต่ำกว่า 13 ปีนับจากปี 2034

ความเสี่ยงจากฐานข้อมูลยืนยันความเป็นผู้ใหญ่

  • บางรัฐและหนึ่งประเทศกำลังใช้งานฐานข้อมูลเชิงพาณิชย์แบบรวมศูนย์ที่กำหนดให้ อัปโหลดบัตรประจำตัวระดับรัฐและเอกสารเพื่อพิสูจน์ว่าเป็นผู้ใหญ่ ตอนล็อกอินเข้าเว็บไซต์สำหรับผู้ใหญ่
  • ความกังวลหลักคือ วิธีนี้อาจไม่หยุดอยู่แค่เนื้อหาผู้ใหญ่ แต่เติบโตเป็นโครงสร้างพื้นฐานที่เชื่อม ชื่อจริงกับข้อมูลการเงิน ตลอดการใช้อินเทอร์เน็ต
  • ฝ่ายการเมืองถูกพรรณนาว่าเสียใจภายหลังที่เคยปล่อยให้อินเทอร์เน็ตเสรีและเปิดกว้างเกินไป และจำเป็นต้องโน้มน้าวให้บริษัทเทคโนโลยีคืนอำนาจการควบคุมโดยสมัครใจ
  • โดยสรุป มีคำเตือนว่ารัฐบาลและพันธมิตรภาคธุรกิจอาจยึดอำนาจควบคุมอินเทอร์เน็ตกลับคืนในรูปแบบที่ตนเองได้ประโยชน์

ทางเลือกแบบแรงเสียดทานต่ำที่มีอยู่แล้ว: ICRA PICS และ RTA

  • ในอดีต เบราว์เซอร์และแอดออนสามารถตรวจจับ เนื้อหาผู้ใหญ่และเนื้อหาที่ผู้ใช้สร้างขึ้น ได้ผ่านมาตรฐานรุ่นเก่า
  • วิธีนี้แทบไม่เพิ่มต้นทุนให้กับนักพัฒนาไคลเอนต์และผู้ดูแลเว็บเซิร์ฟเวอร์ และวางความรับผิดชอบเรื่องสิ่งที่เด็กดูได้ไว้กับผู้ปกครอง
  • โค้ดตัวอย่างจาก yt-dlp ถูกยกมาเป็นตัวอย่างการตรวจหา RTA header

  • ICRA PICS Headers

    • ICRA PICS เป็นความพยายามแรกในการทำให้เว็บปลอดภัยสำหรับเด็กมากขึ้น
    • เบราว์เซอร์บางตัว เครื่องมือของบุคคลที่สาม และเว็บเซิร์ฟเวอร์บางส่วนได้นำไปใช้
    • แต่ต้องสร้าง header ผ่านเว็บฟอร์มเพื่ออธิบายรายละเอียดว่าในเว็บไซต์มีเนื้อหาประเภทใดบ้าง จึงมีแรงเสียดทานสูงและการนำไปใช้หยุดชะงัก

  • RTA Header

    • RTA Header เป็นความพยายามครั้งที่สองที่เรียบง่ายกว่าและถูกใช้งานแพร่หลายกว่า
    • ผู้ดูแลเว็บไซต์เพียงเพิ่ม header สั้นๆ ตัวเดียวลงในหน้าเว็บหรือ HTTP header แล้วเบราว์เซอร์ เสิร์ชเอนจิน และครอว์เลอร์ก็สามารถรู้ได้ทันทีว่าเว็บไซต์นั้นอาจไม่เหมาะกับเด็ก
    • ตัวอย่างคำสั่ง HTML มีดังนี้
    <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
    • ตัวอย่าง HTTP header บน NGinx มีดังนี้
    add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
    • บน HAProxy สามารถตั้งค่าได้ดังนี้
    http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
    • เป็นแนวทางที่ตั้งค่าได้ง่ายแทบทุกจุด ไม่ว่าจะเป็นเซิร์ฟเวอร์ โหลดบาลานเซอร์ หรือแอปพลิเคชัน และแทบไม่มีต้นทุน
    • งานที่เหลือคือใส่โค้ดฝั่งไคลเอนต์กลับเข้าไปในเบราว์เซอร์ และเพิ่มลงในโทรศัพท์มือถือกับแท็บเล็ตด้วย
    • มองว่าผู้พัฒนา บริษัท และองค์กรส่วนใหญ่สามารถทำได้ด้วยความพยายามและต้นทุนต่ำ และอาจทำเป็น side project แบบรวดเร็วได้ด้วย

สถานการณ์ที่ฐานข้อมูลติดตามแพร่กระจาย

  • บทความแยกกระแสต่อไปนี้ออกเป็น ทฤษฎีและการประเมินที่ดีที่สุด
    • ขั้นที่ 1: มีการล็อบบี้นักการเมืองสายอนุรักษนิยม และนโยบายนี้ถูกยอมรับว่าเข้ากับค่านิยมครอบครัวและความเชื่อของผู้มีสิทธิเลือกตั้ง
    • ขั้นที่ 2: หากมีรัฐแนวอนุรักษนิยมมากพอออกกฎหมายบังคับใช้ฐานข้อมูล ก็จะง่ายขึ้นในการทำให้กฎหมายระดับประเทศดูชอบธรรม
    • ขั้นที่ 3: เริ่มเกิดรายได้
    • ขั้นที่ 4: หากกฎหมายกลางของสหรัฐฯ กำหนดให้ต้องติดตาม ประเทศอื่นก็จะทำตามเพื่อหลีกเลี่ยงมาตรการลงโทษหรือค่าปรับ
    • ขั้นที่ 5: เมื่อมีกรอบการติดตามแล้ว ก็จะถูกเรียกร้องให้ใช้กับ โซเชียลมีเดีย อย่าง Facebook, X, Instagram ด้วย
    • ขั้นที่ 6: อาจขยายไปยังธนาคาร ร้านค้าออนไลน์ ตลาดแลกเปลี่ยนคริปโต การลงคะแนน ระบบแชตออนไลน์ Signal, WhatsApp, Slack, Discord, IRC, Hacker News, เนื้อหาที่ผู้ใช้มีส่วนร่วมสร้าง, เว็บไซต์สาย chan, YouTube, Rumble, TikTok, Steam, Battle.net และแพลตฟอร์มเกมอย่าง Minecraft
    • ขั้นที่ 7: เกิดรายได้มากขึ้นและ การติดตามขนาดใหญ่
  • เมื่อข้อมูลเหล่านี้ถูกรวมไว้ที่จุดเดียว ก็อาจดึงดูดผู้ไม่หวังดีบนอินเทอร์เน็ตได้
  • บทความกล่าวอย่างประชดประชันว่าไม่มีอะไรรับประกันได้ว่าข้อมูลจะไม่รั่วจาก S3 bucket โดยความผิดพลาด หรือจะไม่ถูกขายต่อ

ความเป็นไปได้ของการบังคับใช้แบบครอบคลุมและการหารายได้

  • ในทางทฤษฎี การบังคับใช้แบบครอบคลุมสามารถทำได้หากเว็บเบราว์เซอร์ทั้งหมดบล็อกหน้าเว็บที่ไม่มีลายเซ็น Web Environment Integrity (WEI)
  • แนวทางนี้อาจถูกผูกเข้ากับ บัตรเครดิต บัตรประจำตัวระดับรัฐ และโมดูล TPM
  • หาก Tor Browser นำ WEI ไปใช้ ก็อาจขยายไปถึงเว็บไซต์ Tor .onion ได้เช่นกัน
  • หากผู้ใช้ทุกคนต้องล็อกอินทุกเว็บไซต์ด้วยตัวตนจริงและข้อมูลการเงิน เว็บไซต์ต่างๆ ก็จะขายสินค้าและเรียกเก็บเงินได้ง่ายขึ้นมาก
  • ยังมีการคาดการณ์ถึงการเพิ่มปุ่มซื้อผ่านเว็บไซต์ตรวจสอบตัวตน และเว็บไซต์ตรวจสอบนั้นก็เก็บค่าธรรมเนียมส่วนหนึ่ง
  • อาจมีฟีเจอร์อำนวยความสะดวกที่แมปบัญชีผู้ใช้เข้ากับบัญชีกระแสรายวันโดยตรงเพื่อหลีกเลี่ยง chargeback
  • บทความยังกังวลด้วยว่า vendor และการอัปเดตระบบปฏิบัติการอาจล็อก Secure Boot เพื่อกันไม่ให้ใช้ระบบปฏิบัติการที่ไม่เข้าร่วมการยืนยันอายุ/ยืนยันตัวตนของบุคคลที่สาม

ความกังวลต่อผลกระทบทางสังคม

ความเป็นไปได้ของการใช้ RTA header ในทางที่ผิดและข้อจำกัด

  • หากมีใครสามารถแทรก RTA header ลงในหน้าเว็บได้ ก็ถือว่าเป็นการเติมช่องว่างของ header ที่ผู้ดูแลเว็บไซต์ควรเป็นคนใส่เอง
  • วัยรุ่นบางส่วนอาจหาวิธีเลี่ยงข้อจำกัดได้
  • แม้วิธีนี้จะไม่สมบูรณ์แบบ แต่ถูกประเมินว่าดีกว่าวิธีที่มีอยู่หรือกำลังถูกนำมาใช้ในตอนนี้
  • ผู้เขียนเห็นว่าการที่วัยรุ่นหลบเลี่ยง header ยังดีกว่าสถานการณ์ที่ต้อง ขโมยบัตรเครดิตหรือปลอมบัตรประจำตัวเพื่อใช้ฐานข้อมูลแบบรวมศูนย์ และเริ่มต้นชีวิตพร้อมประวัติอาชญากรรม

เหตุผลที่เนื้อหาจากผู้ใช้ต้องมี RTA

  • เนื้อหาที่ผู้ใช้สร้างขึ้นอาจเปลี่ยนเป็นเนื้อหาที่ไม่เหมาะกับเด็กได้ในพริบตา
  • มีเพียงผู้ใหญ่ที่บรรลุนิติภาวะเท่านั้นที่สามารถทำสัญญาและยอมรับข้อตกลงที่บังคับใช้ตามกฎหมายได้
  • มุมมองในบทความคือ หากมีเนื้อหาสำหรับผู้ใหญ่ เด็กควรอยู่ร่วมกับพ่อแม่หรือผู้ปกครองตามกฎหมาย หรือไม่ก็ต้องให้พ่อแม่ใส่โดเมนหรือ URL ที่อนุญาตไว้ใน allowlist
  • มีข้อแม้ว่าเนื้อหานี้ไม่ใช่คำแนะนำทางกฎหมาย และแม้แต่นักกฎหมายก็อาจผิดพลาดได้ จึงควรรับฟังหลายความเห็นและโต้แย้งตรวจสอบ

แผนปฏิบัติการที่เสนอ

  • ผู้คนควรติดต่อผู้แทนระดับรัฐและระดับประเทศ เพื่อเรียกร้องวิธี ยืนยันอายุที่เรียบง่ายกว่าและละเมิดความเป็นส่วนตัวน้อยกว่า
  • ข้อแรก ให้ผู้ดูแลและเจ้าของเว็บไซต์ทั้งหมดนำ RTA header ไปใช้ และให้เวลา 1 ปี
    • มองว่าการติดตั้งใช้เวลาเพียงไม่กี่นาที
  • ข้อสอง ให้ user agent ที่ติดตั้งมาเป็นค่าเริ่มต้น เช่น เบราว์เซอร์และเว็บไคลเอนต์ ตรวจจับ RTA header และเปิดใช้การควบคุมโดยผู้ปกครอง
    • หากไม่รวม QA มองว่าใช้เวลาพัฒนาไม่ถึงหนึ่งวัน
    • เสนอกรอบเวลาดำเนินการ 1 ปี
    • บัญชีเริ่มต้นที่สร้างใหม่หลังจากบัญชีผู้ดูแลระบบ ควรเป็นบัญชีเด็กที่ใช้การควบคุมโดยผู้ปกครอง เว้นแต่จะใส่รหัสผ่านผู้ดูแลระบบ
  • ข้อสาม ทำสัญญากับบริษัท CDN และเว็บสแครปปิงเพื่อตรวจสอบว่าเว็บไซต์มี RTA header หรือไม่
  • ข้อสี่ ออกกฎหมายให้ เด็กทุกคนที่อายุต่ำกว่า 13 ปี ณ ปี 2034 ต้องเปิดใช้การควบคุมโดยผู้ปกครอง
  • ข้อห้า วัยรุ่นในปัจจุบันจะเป็นผู้ใหญ่หมดแล้วในปี 2034 ดังนั้นหากวิธีนี้ถูกใช้อย่างถูกต้องก็จะไม่ได้รับผลกระทบ
    • วิธีนี้สร้างหน้าต่างเวลาแบบเลื่อนได้ และมีผลเฉพาะกับวัยรุ่นในอนาคต
    • มุมมองในบทความคือ ความรับผิดชอบของเด็กควรเป็นของพ่อแม่ ไม่ใช่ของรัฐ
  • ข้อหก มีข้อเสนอว่าบริษัทที่คัดค้านแนวทางนี้หรือวิ่งเต้นเพื่อทางเลือกอื่นควรถูกตัดแหล่งเงินทุนตามกฎหมาย และนักการเมืองที่คัดค้านควรถูกตำหนิและอาจถูกขับออกจากตำแหน่งในที่สุด
  • หากจำเป็นต้องอัปโหลดข้อมูลระบุตัวบุคคล ศูนย์ข้อมูลที่เกี่ยวข้องทั้งทางตรงและทางอ้อมต้องปฏิบัติตามข้อกำหนดด้านเทคนิคและการตรวจสอบที่เข้มงวดยิ่งกว่าการรวม PCI DSS กับ Fedramp
    • ทุกอย่างต้องอยู่ในขอบเขต ตั้งแต่อุปกรณ์ IoT, โน้ตบุ๊กของนักพัฒนา, DEV/QA, performance, staging ไปจนถึง production
    • บทสรุปคือ หากเรื่องนี้ยากเกินไป ก็อย่าแตะข้อมูลระบุตัวบุคคล แต่ให้ใช้ RTA หรือ header สำหรับผู้ใหญ่แทน

คำแนะนำถึง CTO และ CSO

  • อย่ารอให้กฎหมายผ่าน แล้วค่อยรอจนเกิดแรงตีกลับและล้มเหลว ควรติดตั้ง RTA header บนเว็บไซต์เสียก่อน
  • เบราว์เซอร์ควรมีการตรวจสอบ header เพื่อปกป้องพ่อแม่และเด็ก
  • บริษัทต่างๆ สามารถบอกได้ว่าตนเองไปไกลกว่าที่อื่นแล้วผ่านการติดตั้งเหล่านี้

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความคิดเห็นจาก Hacker News

  • ปราการด่านสุดท้ายคืออะไร? ผมคิดว่าอาจเป็นการสร้าง เครือข่ายทวนสัญญาณไร้สายใต้ดิน ภายในเมืองเพื่อเชื่อมคอมพิวเตอร์เข้าหากันโดยตรง จากนั้นก็ seed คอนเทนต์เถื่อนและพูดคุยกันในสิ่งที่อยากพูด
    ตอนเชื่อมกับเครือข่ายนอกเมืองอาจต้องใช้คลื่นวิทยุที่มีความยาวคลื่นมากขึ้น ส่งสะท้อนผ่านชั้นไอโอโนสเฟียร์ไปอีกฟากของโลก ซึ่งอาจทำให้แบนด์วิดท์ต่ำลง
    FCC คงไม่ค่อยสนใจนัก จะตั้งโหนดไว้บนดาดฟ้าตึกที่ถูกทิ้งร้าง หน้าสำนักงานภาคสนามของ FCC ในท้องถิ่น กลางป่า หรือบนทุ่นในทะเล
    อาจถูกจับหรือเจออะไรที่แย่กว่านั้น แต่ยังไงเราก็ไม่ได้มีชีวิตอยู่ตลอดไป
    ถ้ายังมีแฮ็กเกอร์ตัวจริงเหลืออยู่บน Hacker News ก็อยากให้ช่วยพิจารณาไอเดียนี้และพัฒนาด้านเทคนิคต่อ ผมยอมรับอนาคตที่การสื่อสารทั้งหมดต้องยืนยันตัวตนและถูกเซ็นเซอร์ไม่ได้
    นี่คือเป้าหมายสุดท้ายของพวกเขา และต้องหยุดมันให้ได้ อาจเป็นการต่อสู้ที่ใหญ่กว่าสงครามที่อำนาจเคยผลักให้เราไปสู้กับสมุนของอำนาจอื่น เพราะเป็นครั้งแรกในประวัติศาสตร์อารยธรรมที่เรากำลังสู้เพื่อ สิทธิของพวกเราเอง ไม่ใช่เพื่อชนชั้นนำ

    • ปราการด่านสุดท้ายคือ เปลี่ยนรัฐบาลเสมอ ถ้าต้องพึ่งวิธีทางเทคนิค แปลว่าแพ้ไปแล้ว
    • ทุกคน โดยเฉพาะคนรุ่นใหม่ ควรต้องเรียนรู้ ทักษะแฮ็กเชิงรุก ให้ได้
      ผมจะสอนลูก ๆ ของผมให้รู้พอ ๆ กับการรู้วิธี exploit และทำลายระบบคอมพิวเตอร์ของฝ่ายตรงข้าม
      นี่เทียบได้กับการแก้ไขเพิ่มเติมรัฐธรรมนูญครั้งที่ 2 ของโลกอินเทอร์เน็ต คุณควรสามารถตรวจสอบ แยกชิ้นส่วน และดีบักทุกอย่างในระบบคอมพิวเตอร์ได้ และถ้าระบบนั้นหรือเจ้าของมันเริ่มทำตัวผิด ก็ต้องมีความรู้พอจะโค่นมันลง
      ถ้าประชากรทั้งหมดตัดสินใจตอบโต้การกดขี่ของรัฐบาลด้วยการถือแค่ Kali Linux ก็สามารถแก้ปัญหาเกือบทุกอย่างที่เกี่ยวกับระบบคอมพิวเตอร์ได้
    • ผมไม่คิดว่าจะมี กลลวงทางเทคนิควิเศษ ที่ใช้เลี่ยงการเมืองได้
    • แค่สร้าง IPSec tunnel ระหว่างเพียร์/เพื่อนที่ไว้ใจกัน แล้วประกอบเป็นอินเทอร์เน็ตที่เชื่อถือกันเองอยู่ภายในอินเทอร์เน็ต เท่านี้ทุกอย่างก็จะดูเหมือน LAN
      ไม่แน่ใจว่าจะขยายได้ดีแค่ไหน แต่ก็ง่ายกว่าการไปจัดการลูกเล่นฝั่งไร้สายมาก จากประสบการณ์ของผม ฝั่งไร้สายโดน FCC หรือหน่วยงานกำกับดูแลของแต่ละประเทศปราบปรามอย่างสม่ำเสมอทีเดียว
    • ทำได้อยู่แล้ว และมันชื่อ Reticulum
      โดยแก่นแล้วมันคืออินเทอร์เน็ต/เครือข่ายเข้ารหัสที่ทำงานได้บนเครือข่ายแทบทุกชนิด รวมถึง LoRa
      ปัญหาคือขนาดของชุมชน และการเชื่อมต่อกันให้มากพอที่จะให้บริการอินเทอร์เน็ตจริงหรือเปิดเผยบริการสาธารณะได้

  • อีกอย่างที่ควรเพิ่มในรายการคือ กฎระเบียบและแนวปฏิบัติแบบ KYC/AML ที่ไม่ได้จำกัดอยู่แค่เรื่องการเงิน มันผลักความรับผิดลงไปยังส่วนล่างของสายโซ่ ซึ่งเป็นพื้นที่ที่ตรวจสอบเอาผิดได้ยาก และสุดท้ายก็นำไปสู่การหลีกเลี่ยงความเสี่ยงแบบป้องกันตัวเกินเหตุ การเซ็นเซอร์ตนเอง และการบิดเบือนหน้าต่าง Overton ในวงกว้าง
    ตัวอย่างเช่น ลองเทียบ DMCA กับแนวปฏิบัติของ YouTube รวมถึงพฤติกรรมที่ช่องจริง ๆ เลือกทำเพื่อหลีกเลี่ยงทั้งสองอย่าง เช่นเดียวกับอัลโกสปีคหรือกรณี PayPal ที่กล่าวถึงในบทความ
    แต่ทั้งหมดนี้ก็เป็นแค่คำพูด แรงกดดันทางการเมืองก็เหมือนแรงดันของก๊าซ มันจะขยายไปเติมเต็มทุกปริมาตรที่เปิดให้มัน สิ่งที่กำหนดปริมาตรที่เป็นไปได้คือคุณทำอะไรจริงบ้างนอกจากพูดบนเว็บ ถ้าไม่ทำอะไรเลย ปริมาตรนั้นก็จะเป็นอนันต์

    • ก็สร้างรัฐบาลขึ้นใหม่ตั้งแต่ต้นเสียเลย
      ทำ version control ให้กฎหมาย เปรียบเทียบกับกฎหมายของประเทศอื่นทั้งหมด และกักตุนข้อมูลไว้
      เขียนโค้ดมาแทนพนักงานรัฐและทำให้การบังคับใช้กฎหมายง่ายขึ้น ถ้าทำได้ดีพอก็อาจขายเป็นผลิตภัณฑ์หรือบริการได้
      ทำทุกอย่างให้เป็นแบบโมดูลาร์ เพื่อให้ระบอบเดิมขโมยไปใช้ได้
      ต้องดึงคนเข้ามามีส่วนร่วม จะสร้างซิมูเลชันแล้วกล่อมให้คนเชื่อว่ามันคือเกมก็ยังได้
      ถ้าคิดว่างานทั้งหมดนี้คือการเขียนโค้ด ก็อาจจินตนาการได้ว่าตัวเองเหมาะกับงานนี้อย่างสมบูรณ์แบบ
      ผมได้เรียนรู้ว่าคนจากหลายแนวคิดทางการเมืองชอบแนวคิดเรื่อง ภาษีแบบสมัครใจ แต่ไม่มีใครเชื่อว่ามันจะใช้งานได้จริง
      ถ้าทั้งระบบเดินได้ด้วยเงินบริจาค อาสาสมัคร และบริษัท “ของรัฐ” ไม่กี่แห่ง การ hot-swap ทั้งระบบก็แทบจะหลีกเลี่ยงไม่ได้

  • ผมสงสัยว่าทำไมโค้ดจัดเรตถึงซับซ้อนขนาดนั้น Pornhub.com เปิดใช้โค้ดนั้น แต่ก็ใช้แบบที่ง่ายกว่าควบคู่กันไป และ 4chan ก็ใช้แบบหลัง

    • ผมหาคำอธิบายไม่ได้จาก https://rtalabel.org/ ว่าทำไมถึงต้องเป็นสตริงนั้นโดยเฉพาะ แต่ข้อดีคือมันมีความเฉพาะตัว ทำให้หาเว็บไซต์ทางการได้ง่ายกว่าคำทั่วไปอย่าง “adult”
    • อาจเป็นเพราะตรงกันข้ามกับเจตนาของการกำกับดูแล มันทำให้คนเลิกให้บริการ คอนเทนต์ที่ไม่ติดเรต
      เคยมีอะไรคล้ายกันเกิดขึ้นจริง: “Sesame Scheme: Unintended Consequences of Allergen Food Labeling”( https://news.ycombinator.com/item?id=44074487 )
    • ผมคิดว่าโค้ดฝั่งไคลเอนต์ควรตรวจหาแบบไหนก็ได้จากสองแบบนี้ได้ไม่ยาก
    • น่าจะเป็นเรื่องของ ความเฉพาะตัว เพราะโค้ดนี้ถูกกำหนดไว้ตามมาตรฐานที่เจาะจงมาก ขณะที่ adult อาจหมายถึงอะไรก็ได้เกือบทั้งนั้น

  • วิธีแก้ง่าย ๆ คือใช้เราเตอร์บล็อกสิ่งที่ต้องบล็อก และจัดการอุปกรณ์ของเด็ก ๆ เอง แบบนั้นอินเทอร์เน็ตก็จะยังคง เสรีและเปิดกว้าง
    ตอนนี้เรากำลังพูดถึงอะไรกันอยู่? ดูแล้วคงไม่จบสวย

    • เป้าหมายหลักคือการได้มาซึ่ง การควบคุมทราฟฟิกอินเทอร์เน็ต วิธีที่ต้องให้ลงมือทำกันเองใช้ไม่ได้ผล เพราะคุณควบคุมทุกคนไม่ได้ ก็เลยควบคุมวิธีที่พวกเขาจะนำไปใช้จริงไม่ได้ด้วย
      คำว่า “เพื่อเด็ก ๆ” ในชื่อเรื่องไม่ได้จริงจัง แต่เป็นเชิงประชดมากกว่า
    • คุณน่าจะรู้อยู่ว่าเรากำลังพูดถึงอะไร มันเขียนไว้ในหนังสือเล่มนั้น
    • คุณอยากออกแบบอินเทอร์เน็ตให้คุณสามารถทำ man-in-the-middle attack กับทราฟฟิกได้งั้นหรือ?

  • ก่อนหน้านั้นอีกราว 20 ปี มี “The Digital Imprimatur”: <https://www.fourmilab.ch/documents/digital-imprimatur/>

  • ควรมีวิธีพิสูจน์ได้โดยไม่ต้องระบุว่าผู้ใช้คนนั้นเป็นมนุษย์คนไหน เพียงแค่พิสูจน์ว่าเขา เป็นมนุษย์และมีอายุเกินเกณฑ์ที่กำหนด

    • เคยมีข้อเสนอแบบนี้อยู่ เป็นวิธีใช้ คอนเทนเนอร์ข้อมูลเข้ารหัส ที่ให้ผู้ใช้อนุญาตให้แอปใช้เฉพาะข้อมูลที่จำเป็นได้ แต่แนวคิดนี้ไปพัวพันกับ Web3 และเจอกระแสต่อต้านอย่างหนักจากสาธารณะในช่วงกระแส Crypto กับ NFT ร้อนแรง
      https://www.w3.org/2023/Talks/0727-wearedevelopers-tbl/solid...
      ตอนนี้กระแสย้ายไปที่ AI แล้ว และสุดท้ายก็จะกลายเป็น การยืนยันอายุที่ห่วย ตามรูปแบบที่นักการเมืองเขียนใส่ไว้ในกฎหมาย
    • นี่เป็นโจทย์ที่เป็นไปไม่ได้ ถ้าธุรกิจใดอยากบังคับใช้ human ID ก็ปล่อยให้ทำไปได้ แต่รัฐบาลไม่ควรบังคับ
      คุณควบคุมเราเตอร์ของตัวเองและอุปกรณ์ของลูกได้ทั้งหมดอยู่แล้ว ก็เริ่มจากตรงนั้นได้เลย ไม่ใช่ความรับผิดชอบของคนอื่น
    • การตรวจว่าใครคนหนึ่งเป็นมนุษย์นั้นยากกว่า การตรวจว่าอายุเกินเกณฑ์หรือไม่อาจพอทำได้แม้จะใช้เวลา ถ้าอุปกรณ์และเบราว์เซอร์ส่วนใหญ่ที่เด็กใช้ตรวจสอบ RTA/adult header และเปิดใช้ การควบคุมโดยผู้ปกครอง
      มันคงไม่แก้ได้ชั่วข้ามคืนจึงไม่สมบูรณ์แบบ แต่ความสมบูรณ์แบบคือศัตรูของสิ่งที่ดี
      ผมมองว่าวิธีที่ใช้อยู่ตอนนี้ไม่ดี เพราะมันทำให้ข้อมูลยืนยันตัวตนของทั้งเด็กและผู้ใหญ่ตกอยู่ในความเสี่ยง เด็กเองก็ไม่อาจยินยอมให้มีการแชร์ข้อมูลแบบนี้ได้ ดังนั้นคนเดียวที่ปกป้องพวกเขาได้คือพ่อแม่
    • ในระยะยาว ดูเหมือนว่าสิ่งนี้จะมาแน่ ทุกเว็บไซต์กำลังติดอะไรอย่าง Cloudflare CAPTCHA เพื่อกันบอทสแครปเปอร์ AI สุดท้ายอาจจำเป็นต้องมี โทเค็น ที่ออกให้เฉพาะมนุษย์จริงเท่านั้น
    • https://zkpassport.id/

  • ควรจำไว้ว่า หลังการมาของ AI บริษัทโฆษณาไม่สามารถมั่นใจได้อีกต่อไปว่าอะไรคือทราฟฟิกจริง ดังนั้นพวกเขาจึงผลักดันเรื่องนี้ผ่านการล็อบบี้ เพราะถ้าผูกทราฟฟิกทั้งหมดเข้ากับ บัตรประชาชนที่รัฐออกให้ ปัญหานั้นก็จะหายไป

  • ควรมีกฎหมายให้บริษัทที่ใช้การยืนยันอายุหรือยืนยันตัวตนผ่านบุคคลที่สามต้องรับ ความรับผิดชอบทางกฎหมายเต็มรูปแบบ ต่อข้อมูลนั้น
    ถ้าข้อมูลรั่วไหล ไม่ว่าจะรั่วอย่างไรหรือเพราะอะไร ต้องจ่าย 1 ล้านดอลลาร์ต่อผู้เสียหาย 1 คน
    ถ้ามีข้อมูลตัวตน 300 รายการรั่วหรือถูกขาย ก็เท่ากับ 300 ล้านดอลลาร์ แยกจากโทษทางอาญา ถ้าทำให้บริษัทล้มละลาย ก็ถือว่าระบบทำงานตามเจตนาแล้ว นั่นหมายความว่าบริษัทแบบนั้นไม่มีคุณสมบัติจะเป็นผู้พิทักษ์ข้อมูลนี้ นับประสาอะไรกับการเป็นผู้พิทักษ์เด็ก

    • รุนแรงเกินไปหรือ? ถ้างั้นก็อย่าเก็บข้อมูลตั้งแต่แรก และภายใต้สมมติฐานว่าสมาชิกสภานิติบัญญัติจะได้สติแล้วเริ่มใส่ใจเด็กจริง ๆ ก็ใช้ RTA header และให้ฝั่งไคลเอนต์ตรวจสอบ header นั้นก็พอ
    • LLC ของฉันที่เหลือเงินในบัญชีแค่ 0 ดอลลาร์คงซวยแล้ว
    • Discord ใช้บริการบุคคลที่สาม และผู้ให้บริการนั้นควรลบ ID ที่ได้รับไป แต่ไม่ได้ลบ และสุดท้ายก็รั่วไหล

  • ผมแทบจะแน่ใจว่าความนิรนามจะหายไป แต่ในขณะเดียวกัน เหตุผลอ้างบางอย่างก็ยังจะได้รับการสนับสนุนจาก บัญชีบอทจำนวนมาก อยู่ดี

  • เราแพ้สงครามนี้ไปแล้วตั้งแต่ตอนที่ถูกหลอกให้ใส่ V-Chip ลงในทีวี
    ข้อตกลงที่ชัดเจนควรจะเป็นแบบนี้ คือเมื่อให้เครื่องมือแก่คนที่กังวลเพื่อบล็อกอย่างชัดเจนแล้ว ก็ต้องยอมให้มีทั้งถ้อยคำรุนแรงและตัวเลือกสื่อลามกทุกแบบบนฟรีทีวีได้
    แน่นอนว่า “ถอดปลั๊กทีวีตอนพ่อแม่ไม่อยู่” ก็เป็นเครื่องมือที่ใช้งานได้อยู่แล้ว
    แต่เราไม่เคยได้สิ่งตอบแทนแบบนั้น
    ผมสงสัยว่าส่วนหนึ่งเป็นเพราะกลุ่มแนว “จะไม่มีใครคิดถึงเด็กบ้างหรือ” นั้นมีเสียงดังทางการเมืองและน่าเอาใจแค่ไหน และอีกส่วนหนึ่งเป็นเพราะบรรดาบริษัทที่มีเป้าหมายแย่กว่านั้นคอยใช้มันเป็นช่องทางขยายอิทธิพลมานานแค่ไหน
    ตัวอย่างเช่น ผู้ให้บริการโซเชียลเชิงพาณิชย์อยากได้ความคุ้มกันทางกฎหมายอย่างมากเพื่อหลีกเลี่ยงการตีลังกาปฏิบัติตาม COPPA และยังมีแรงจูงใจจาก ข้อมูลประชากรที่ผ่านการยืนยันแล้ว ที่การพิสูจน์อายุมอบให้ด้วย