1 pontos por GN⁺ 2024-11-26 | 1 comentários | Compartilhar no WhatsApp
  • Por meio de uma premissa satírica de que sites podem esfaquear usuários, Do-Not-Stab permite que o usuário transmita via cabeçalho HTTP a preferência de não querer ser esfaqueado
  • A sintaxe do cabeçalho é apenas Do-Not-Stab: 1; se o cabeçalho estiver ausente, isso é tratado como uma preferência do usuário por querer ser esfaqueado
  • O agente de usuário não deve ativar esse valor por padrão, e há uma regra segundo a qual um sinal configurado como padrão pode ser ignorado pelos serviços web, que então podem esfaquear o usuário
  • A Microsoft prometeu suporte a Do-Not-Stab apenas dentro do EEE; fora do EEE, mesmo definindo o cabeçalho, o usuário pode ser esfaqueado
  • Ao mostrar que exceções como interesses comerciais, solicitações governamentais, tratamento de consentimento e demandas de acionistas podem se sobrepor a preocupações de segurança, o texto critica a forma como empresas “respeitam” a escolha do usuário

Regras do cabeçalho Do-Not-Stab

  • Do-Not-Stab é um cabeçalho HTTP que permite ao usuário informar a um site sua preferência sobre ser esfaqueado
  • No contexto satírico, ao longo dos últimos 50 anos, o avanço dos periféricos permitiu que sites esfaqueassem usuários, dando origem até à indústria de Stabbings as a Service
  • Atores mal-intencionados podem ignorar as preferências do usuário, mas presume-se que a maioria das facadas seja executada não por atores mal-intencionados, e sim por empresas legítimas
  • Este padrão oferece ao usuário uma forma fácil de recusar todas as facadas, mas mantém como exceções as facadas exigidas por lei e as facadas que a empresa quer dar de qualquer jeito
  • A sintaxe é única
    • Do-Not-Stab: 1
    • Se o cabeçalho estiver ausente, isso é tratado como uma preferência do usuário por querer ser esfaqueado
  • O agente de usuário não deve adotar esse cabeçalho como preferência padrão
    • Se for configurado dessa forma, recomenda-se que o serviço web ignore a preferência e esfaqueie o usuário
    • O motivo é que o agente de usuário não pode decidir se o usuário quer ou não ser esfaqueado; isso deve ser uma escolha explícita do usuário

Escopo de aplicação e exceções

  • A Microsoft prometeu dar suporte ao cabeçalho Do-Not-Stab dentro do EEE, isto é, a European Economic Area
  • Fora do EEE, o suporte ainda está em andamento, portanto o usuário pode ser esfaqueado mesmo definindo o cabeçalho
  • Se algum país sair do EEE, os usuários desse país poderão ser esfaqueados
  • Exceções ao Do-Not-Stab são reconhecidas quando o interesse comercial supera as preocupações de segurança
    • Inclui casos em que o usuário consentiu em ser esfaqueado, mesmo que não saiba que consentiu
    • Para facadas solicitadas pelo governo, recomenda-se que o site não questione sua legalidade, e o texto afirma que o usuário provavelmente mereceu
    • Facadas nas quais há chance de o usuário não morrer
    • Quando acionistas quiserem
  • O comentário do editor critica a situação em que empresas só param quando precisam ser instruídas explicitamente a não fazer algo que sabem que não deveriam fazer
    • Considera que a Microsoft respeita a escolha do usuário apenas no EEE porque só ali há obrigação de fazê-lo
    • Também critica o episódio em que o Do-Not-Track foi definido como padrão no IE, levando todos a ignorarem os sinais do IE
    • Inclui o link Prévia das mudanças no Windows para cumprir a Digital Markets Act no EEE
    • Ao citar a frase “We and our 756 partners process personal data”, critica fortemente a prática de ad tech de processar dados pessoais junto com 756 parceiros

1 comentários

 
GN⁺ 2024-11-26
Opiniões no Hacker News
  • A sátira é ótima, mas o ponto central é que ela reflete diretamente uma mudança social maior: o ônus de proteger a autonomia individual passou das instituições e órgãos reguladores para os usuários individuais
    Seja Do-Not-Stab ou Do-Not-Track, diante de pressões financeiras, qualquer forma de conformidade voluntária dificilmente se sustenta desde o início
    Agora precisamos voltar a normalizar uma postura combativa diante desse tipo de problema e defender, de forma agressiva e confrontadora, a liberdade de usar nosso próprio computador como quisermos

    • No HN, sempre que Firefox entra na conversa, costuma aparecer uma enxurrada da falácia da solução perfeita, então é interessante ver uma mensagem assim receber tantos votos
      A indústria de software sabia que o Chrome era um software de publicidade, mas ainda assim estendeu o tapete vermelho, instalando-o nos próprios computadores e nos de parentes; considerando que o custo de trocar para uma alternativa é baixíssimo e mesmo assim as pessoas não trocaram, sou cético quanto a elas entrarem nessa briga de forma combativa
    • Exato. Como millennial, sinto que a época em que havia desobediência civil era melhor
      Não só conseguimos uma internet melhor para os consumidores, como empresas melhores também foram recompensadas e venceram. Pode ser nostalgia, mas outro motivo para a desobediência ser necessária é que o outro lado também age assim por dinheiro
      Especificamente em relação a cookies, daria para fazer algo tipo Adblock? Acho que dados contaminados seriam mais eficazes do que bloqueio. Se querem dados, que recebam dados. Se exigem isso sem consentimento, dados contaminados são apenas conformidade maliciosa
      Como uma extensão do DNT, isso poderia até ser padronizado como “se for exigido consentimento após o cabeçalho DNT, o agente do usuário pode gerar dados sintéticos arbitrários”
    • Sendo bem rigoroso, ela é uma ótima sátira justamente por refletir essa mudança. Foi muito influenciada pelo original, A Modest Proposal
    • Mesmo tentando defender de forma agressiva e confrontadora a liberdade de usar o computador como quiser, infelizmente isso sempre vira uma guerra de desgaste
      As empresas parecem saber que, se aumentarem o custo da resistência do usuário em termos de tempo e irritação, vencerão no longo prazo. A história e a direção das plataformas, do navegador à App Store e a todo tipo de SaaS, são trágicas, e a cada etapa o controle do usuário foi diminuindo
      Agora a grande pergunta é se a inteligência artificial será centrada nas empresas ou democratizada, e até que ponto, mas acho difícil ser otimista
      Ou então, se você não quiser passar mais 60 anos clicando em Do-Not-Stab, pode virar algo como pastor. Isso funcionaria bem por uns 10 anos, mas no fim chegará o momento em que, para usar carro, lava-louças ou interruptor de luz, você terá de clicar em Do-Not-Stab, e aí as empresas vencem
      No fim, você acabará dizendo “devo ser grato só por terem perguntado antes de me esfaquear; na verdade, sou eu que estou devendo”, e passará a esperar o amor e o dinheiro que virão depois de virar um famoso pastor influencer. Deixe o like e se inscreva; como sempre, viva as empresas
    • O melhor momento para começar isso foi 19 dias atrás, mas agora chegamos até aqui. É preciso colocar o cinto de segurança
  • É importante notar que o cabeçalho Do-Not-Stab foi ativado por padrão por um mecanismo de navegador e depois descartado porque a estrutura em que o usuário precisava consentir explicitamente em ser esfaqueado prejudicava a receita da indústria do esfaqueamento
    Felizmente, alguém criou uma alternativa não padronizada chamada General Assault Control, que também tem apenas um valor, então é possível definir Sec-GAC como 1 para pedir aos sites que não ataquem
    Por design, esse cabeçalho não é extensível, então no futuro não servirá para distinguir entre facadas brutais e a comédia de jogar torta no rosto
    Por exigências legais, o cabeçalho General Assault Control não pode ser ativado por padrão. Em estados dos EUA como Colorado, exige-se uma recusa explícita, não consentimento explícito
    Isso protege a próspera indústria de esfaqueamentos e tiroteios do Colorado, já que a maioria dos usuários provavelmente não quer ser esfaqueada
    Esse recurso deve vir desativado por padrão, mas a organização que criou a especificação está incentivando fortemente seus clientes a baixar navegadores de nicho que o implementam. Ainda assim, talvez seja preciso usar about:config para ativá-lo
    Como a base de usuários é pequena, sites que não seguem o padrão podem usar o próprio pedido para não atacar a fim de tornar esfaqueamentos e tiroteios mais precisos
    O usuário final pode solicitar ao servidor web um arquivo JSON indicando se ele oferece suporte ao cabeçalho GAC, mas servidores não conformes podem usar essa solicitação de URL para chutar os dentes do usuário

    • Agora, para cumprir as normas europeias, tornou-se praxe mostrar ao usuário, antes de usar o site, uma lista de crimes violentos personalizados que ele pode recusar
      Assim, não consentir com facadas é sempre uma escolha ativa, e usuários que queiram ser esfaqueados ou mutilados não perdem essa oportunidade por engano
    • Por que precisa ser um valor binário? E os masoquistas, ou quem perdeu uma aposta e quer levar só uma facadinha, ou quem quer ser estrangulado?
  • Isso é uma defesa descarada da burocracia da UE. Não é de surpreender que a Europa não tenha grandes empresas de SaaS, dado o ambiente de negócios hostil ao esfaqueamento

    • Exato, por que a UE não consegue simplesmente deixar a indústria stabtech esfaquear em paz?
    • Acho que isso está factualmente errado. Existem empresas como Skype, Spotify, Revolut, Zendesk, Transferwise, e há também bastantes unicórnios europeus operando como SaaS
      São menos do que as empresas dos EUA e da China, mas algumas foram adquiridas ou transferiram sua base para outros países
  • Pelo preço baixo de 20 dólares por 1.000 cliques, vamos oferecer um banner de consentimento para esfaqueamento totalmente em conformidade com as futuras regulamentações de esfaqueamento via web da UE e da California

    • Vou comprar. A distinção entre facadas “necessárias”, “de segmentação”, “de desempenho” e “funcionais” é um verdadeiro campo minado
      Além disso, não faço ideia de como divulgar corretamente os 846 corretores de esfaqueamento com quem trabalho. Com tanta burocracia atrapalhando, como alguém pode ganhar a vida esfaqueando pessoas?
    • A propósito, estudos mostram que, nos banners dos concorrentes, os usuários consentem com facadas apenas 95% das vezes, enquanto nosso banner leva 50% mais tempo para ser recusado corretamente e por isso apresenta uma taxa de consentimento de 98%. Portanto, o certo é usar o nosso
  • Este site parece fazer parte de um webring composto por pessoas transgênero MtF, furries, pessoas que se identificam como robôs e combinações disso. Algumas usam apenas pronomes de terceira pessoa
    Todas parecem ser, de alguma forma, administradoras de sistemas ou programadoras
    Não é a minha tribo, mas fico muito feliz em ver, dentro desse webring, um belo reflexo da internet antiga

  • O cabeçalho Do Not Track foi proposto pela primeira vez em 2009 pelos pesquisadores Christopher Soghoian e Sid Stamm, e o Mozilla Firefox foi o primeiro navegador a implementar esse recurso
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • Fico curioso para saber quantos desenvolvedores web de fato respeitam o Do Not Track
      Em todos os sites que fiz, inclusive os que fiz para empregadores, eu o respeito. Só que acho que isso é possível porque o empregador não sabe
      Fiz com que, ao navegar com Do-Not-Track ativado, o banner de consentimento de cookies também fosse ignorado, e tudo que não fosse estritamente necessário, como cookies de sessão e login, fosse considerado indesejado
      Também não incluo Google Analytics; apenas incremento um contador único de visualizações de página, sem informações de identificação pessoal
    • Em 2002, havia um padrão muito mais sofisticado recomendado pelo W3C chamado P3P. Pelo que parece, ele definia um formato para descrever como empresas poderiam usar dados pessoais
      Mas parece que era complexo demais e considerado “sem força de execução”
      Se tivesse sobrevivido até o GDPR, talvez tivesse ganhado força de execução, mas a Mozilla removeu o suporte antes disso
  • Dizer que “todas as empresas realmente odeiam os usuários” não é bem exato
    Na prática, não é que elas odeiem os usuários; é mais que elas amam o dinheiro dos usuários e demonstram uma indiferença corrompida em relação aos usuários em si

    • Elas não odeiam os usuários, mas estão tentando devorá-los: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • Não, elas amam o dinheiro que podem ganhar com os usuários. Não conheço ninguém que dê dinheiro diretamente a elas
      A estrutura é a de empresas suspeitas que coletam dados vendendo dados sobre os usuários para outras empresas suspeitas. E tudo isso é oferecido gratuitamente aos usuários
    • Isso me lembra a segunda metade deste esquete: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • Parece que você acabou de descobrir que o capitalismo faz mal às pessoas. Quem diria
  • Vamos nos acalmar. As organizações têm muitas outras opções. Ainda não vai haver suporte a Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone, então dá para a família toda se divertir

    • Também não podemos esquecer o robots.txt
  • Se RFC significa request for comment, sempre tive uma dúvida: como se deixa um comentário, e quem o deixa?

    • Uma história que ouvi numa aula de redes na faculdade é que o nome RFC foi dado meio como piada, e que, quando uma proposta chega ao estágio de RFC, comentários já não são muito bem-vindos
      A ideia era que as opiniões deveriam ser dadas muito antes disso
      Não sei se essa história é verdadeira, mas é verdade que uma RFC costuma funcionar como o veredito final sobre aquele padrão
      Na prática, depois que uma RFC recebe um ID, ela não pode ser modificada nem retirada; só pode ser substituída por outra RFC
    • As primeiras RFCs eram, de fato, pedidos de comentários sobre ideias e propostas, e o objetivo era iniciar uma conversa, não criar um registro arquivado de padrões ou boas práticas
      Com o tempo, à medida que o processo de publicação ficou mais formal e a comunidade que consumia o material cresceu, o objetivo mudou
      Hoje, já foram publicadas mais de 8.500 RFCs, incluindo guias de boas práticas, protocolos experimentais, materiais informativos e, claro, padrões da Internet
      https://www.rfc-editor.org/rfc/rfc8700.html
      Hoje em dia, é preciso dar sua opinião antes de chegar ao estágio de “Internet Standard”
    • As RFCs operam sob a IETF. Uma RFC é desenvolvida em um grupo específico, e é possível participar desse grupo; o trabalho normalmente acontece por e-mail
      Na época em que eu participava, também havia reuniões presenciais, mas a presença não era obrigatória
    • Outra interpretação é “request for compliance”, ou seja, pedido de conformidade
    • É possível enviar erratas. Talvez devessem mudar o nome para RFE
  • Este cabeçalho não acaba sendo só mais um pedaço de entropia usado pelas empresas que vão esfaquear de qualquer jeito?

    • Sem respaldo legal, sim. Se houvesse, a história seria completamente diferente
    • Se tornarem ilegal o uso indevido do cabeçalho, só os ilegais vão esfaquear os usuários