RFC 35140: política HTTP Do-Not-Stab (2023)
(5snb.club)- Por meio de uma premissa satírica de que sites podem esfaquear usuários,
Do-Not-Stabpermite que o usuário transmita via cabeçalho HTTP a preferência de não querer ser esfaqueado - A sintaxe do cabeçalho é apenas
Do-Not-Stab: 1; se o cabeçalho estiver ausente, isso é tratado como uma preferência do usuário por querer ser esfaqueado - O agente de usuário não deve ativar esse valor por padrão, e há uma regra segundo a qual um sinal configurado como padrão pode ser ignorado pelos serviços web, que então podem esfaquear o usuário
- A Microsoft prometeu suporte a
Do-Not-Stabapenas dentro do EEE; fora do EEE, mesmo definindo o cabeçalho, o usuário pode ser esfaqueado - Ao mostrar que exceções como interesses comerciais, solicitações governamentais, tratamento de consentimento e demandas de acionistas podem se sobrepor a preocupações de segurança, o texto critica a forma como empresas “respeitam” a escolha do usuário
Regras do cabeçalho Do-Not-Stab
Do-Not-Stabé um cabeçalho HTTP que permite ao usuário informar a um site sua preferência sobre ser esfaqueado- No contexto satírico, ao longo dos últimos 50 anos, o avanço dos periféricos permitiu que sites esfaqueassem usuários, dando origem até à indústria de Stabbings as a Service
- Atores mal-intencionados podem ignorar as preferências do usuário, mas presume-se que a maioria das facadas seja executada não por atores mal-intencionados, e sim por empresas legítimas
- Este padrão oferece ao usuário uma forma fácil de recusar todas as facadas, mas mantém como exceções as facadas exigidas por lei e as facadas que a empresa quer dar de qualquer jeito
- A sintaxe é única
Do-Not-Stab: 1- Se o cabeçalho estiver ausente, isso é tratado como uma preferência do usuário por querer ser esfaqueado
- O agente de usuário não deve adotar esse cabeçalho como preferência padrão
- Se for configurado dessa forma, recomenda-se que o serviço web ignore a preferência e esfaqueie o usuário
- O motivo é que o agente de usuário não pode decidir se o usuário quer ou não ser esfaqueado; isso deve ser uma escolha explícita do usuário
Escopo de aplicação e exceções
- A Microsoft prometeu dar suporte ao cabeçalho
Do-Not-Stabdentro do EEE, isto é, a European Economic Area - Fora do EEE, o suporte ainda está em andamento, portanto o usuário pode ser esfaqueado mesmo definindo o cabeçalho
- Se algum país sair do EEE, os usuários desse país poderão ser esfaqueados
- Exceções ao
Do-Not-Stabsão reconhecidas quando o interesse comercial supera as preocupações de segurança- Inclui casos em que o usuário consentiu em ser esfaqueado, mesmo que não saiba que consentiu
- Para facadas solicitadas pelo governo, recomenda-se que o site não questione sua legalidade, e o texto afirma que o usuário provavelmente mereceu
- Facadas nas quais há chance de o usuário não morrer
- Quando acionistas quiserem
- O comentário do editor critica a situação em que empresas só param quando precisam ser instruídas explicitamente a não fazer algo que sabem que não deveriam fazer
- Considera que a Microsoft respeita a escolha do usuário apenas no EEE porque só ali há obrigação de fazê-lo
- Também critica o episódio em que o Do-Not-Track foi definido como padrão no IE, levando todos a ignorarem os sinais do IE
- Inclui o link Prévia das mudanças no Windows para cumprir a Digital Markets Act no EEE
- Ao citar a frase “We and our 756 partners process personal data”, critica fortemente a prática de ad tech de processar dados pessoais junto com 756 parceiros
1 comentários
Opiniões no Hacker News
A sátira é ótima, mas o ponto central é que ela reflete diretamente uma mudança social maior: o ônus de proteger a autonomia individual passou das instituições e órgãos reguladores para os usuários individuais
Seja Do-Not-Stab ou Do-Not-Track, diante de pressões financeiras, qualquer forma de conformidade voluntária dificilmente se sustenta desde o início
Agora precisamos voltar a normalizar uma postura combativa diante desse tipo de problema e defender, de forma agressiva e confrontadora, a liberdade de usar nosso próprio computador como quisermos
A indústria de software sabia que o Chrome era um software de publicidade, mas ainda assim estendeu o tapete vermelho, instalando-o nos próprios computadores e nos de parentes; considerando que o custo de trocar para uma alternativa é baixíssimo e mesmo assim as pessoas não trocaram, sou cético quanto a elas entrarem nessa briga de forma combativa
Não só conseguimos uma internet melhor para os consumidores, como empresas melhores também foram recompensadas e venceram. Pode ser nostalgia, mas outro motivo para a desobediência ser necessária é que o outro lado também age assim por dinheiro
Especificamente em relação a cookies, daria para fazer algo tipo Adblock? Acho que dados contaminados seriam mais eficazes do que bloqueio. Se querem dados, que recebam dados. Se exigem isso sem consentimento, dados contaminados são apenas conformidade maliciosa
Como uma extensão do DNT, isso poderia até ser padronizado como “se for exigido consentimento após o cabeçalho DNT, o agente do usuário pode gerar dados sintéticos arbitrários”
As empresas parecem saber que, se aumentarem o custo da resistência do usuário em termos de tempo e irritação, vencerão no longo prazo. A história e a direção das plataformas, do navegador à App Store e a todo tipo de SaaS, são trágicas, e a cada etapa o controle do usuário foi diminuindo
Agora a grande pergunta é se a inteligência artificial será centrada nas empresas ou democratizada, e até que ponto, mas acho difícil ser otimista
Ou então, se você não quiser passar mais 60 anos clicando em Do-Not-Stab, pode virar algo como pastor. Isso funcionaria bem por uns 10 anos, mas no fim chegará o momento em que, para usar carro, lava-louças ou interruptor de luz, você terá de clicar em Do-Not-Stab, e aí as empresas vencem
No fim, você acabará dizendo “devo ser grato só por terem perguntado antes de me esfaquear; na verdade, sou eu que estou devendo”, e passará a esperar o amor e o dinheiro que virão depois de virar um famoso pastor influencer. Deixe o like e se inscreva; como sempre, viva as empresas
É importante notar que o cabeçalho Do-Not-Stab foi ativado por padrão por um mecanismo de navegador e depois descartado porque a estrutura em que o usuário precisava consentir explicitamente em ser esfaqueado prejudicava a receita da indústria do esfaqueamento
Felizmente, alguém criou uma alternativa não padronizada chamada General Assault Control, que também tem apenas um valor, então é possível definir Sec-GAC como 1 para pedir aos sites que não ataquem
Por design, esse cabeçalho não é extensível, então no futuro não servirá para distinguir entre facadas brutais e a comédia de jogar torta no rosto
Por exigências legais, o cabeçalho General Assault Control não pode ser ativado por padrão. Em estados dos EUA como Colorado, exige-se uma recusa explícita, não consentimento explícito
Isso protege a próspera indústria de esfaqueamentos e tiroteios do Colorado, já que a maioria dos usuários provavelmente não quer ser esfaqueada
Esse recurso deve vir desativado por padrão, mas a organização que criou a especificação está incentivando fortemente seus clientes a baixar navegadores de nicho que o implementam. Ainda assim, talvez seja preciso usar about:config para ativá-lo
Como a base de usuários é pequena, sites que não seguem o padrão podem usar o próprio pedido para não atacar a fim de tornar esfaqueamentos e tiroteios mais precisos
O usuário final pode solicitar ao servidor web um arquivo JSON indicando se ele oferece suporte ao cabeçalho GAC, mas servidores não conformes podem usar essa solicitação de URL para chutar os dentes do usuário
Assim, não consentir com facadas é sempre uma escolha ativa, e usuários que queiram ser esfaqueados ou mutilados não perdem essa oportunidade por engano
Isso é uma defesa descarada da burocracia da UE. Não é de surpreender que a Europa não tenha grandes empresas de SaaS, dado o ambiente de negócios hostil ao esfaqueamento
São menos do que as empresas dos EUA e da China, mas algumas foram adquiridas ou transferiram sua base para outros países
Pelo preço baixo de 20 dólares por 1.000 cliques, vamos oferecer um banner de consentimento para esfaqueamento totalmente em conformidade com as futuras regulamentações de esfaqueamento via web da UE e da California
Além disso, não faço ideia de como divulgar corretamente os 846 corretores de esfaqueamento com quem trabalho. Com tanta burocracia atrapalhando, como alguém pode ganhar a vida esfaqueando pessoas?
Este site parece fazer parte de um webring composto por pessoas transgênero MtF, furries, pessoas que se identificam como robôs e combinações disso. Algumas usam apenas pronomes de terceira pessoa
Todas parecem ser, de alguma forma, administradoras de sistemas ou programadoras
Não é a minha tribo, mas fico muito feliz em ver, dentro desse webring, um belo reflexo da internet antiga
O cabeçalho Do Not Track foi proposto pela primeira vez em 2009 pelos pesquisadores Christopher Soghoian e Sid Stamm, e o Mozilla Firefox foi o primeiro navegador a implementar esse recurso
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Em todos os sites que fiz, inclusive os que fiz para empregadores, eu o respeito. Só que acho que isso é possível porque o empregador não sabe
Fiz com que, ao navegar com Do-Not-Track ativado, o banner de consentimento de cookies também fosse ignorado, e tudo que não fosse estritamente necessário, como cookies de sessão e login, fosse considerado indesejado
Também não incluo Google Analytics; apenas incremento um contador único de visualizações de página, sem informações de identificação pessoal
Mas parece que era complexo demais e considerado “sem força de execução”
Se tivesse sobrevivido até o GDPR, talvez tivesse ganhado força de execução, mas a Mozilla removeu o suporte antes disso
Dizer que “todas as empresas realmente odeiam os usuários” não é bem exato
Na prática, não é que elas odeiem os usuários; é mais que elas amam o dinheiro dos usuários e demonstram uma indiferença corrompida em relação aos usuários em si
A estrutura é a de empresas suspeitas que coletam dados vendendo dados sobre os usuários para outras empresas suspeitas. E tudo isso é oferecido gratuitamente aos usuários
Vamos nos acalmar. As organizações têm muitas outras opções. Ainda não vai haver suporte a Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone, então dá para a família toda se divertir
Se RFC significa request for comment, sempre tive uma dúvida: como se deixa um comentário, e quem o deixa?
A ideia era que as opiniões deveriam ser dadas muito antes disso
Não sei se essa história é verdadeira, mas é verdade que uma RFC costuma funcionar como o veredito final sobre aquele padrão
Na prática, depois que uma RFC recebe um ID, ela não pode ser modificada nem retirada; só pode ser substituída por outra RFC
Com o tempo, à medida que o processo de publicação ficou mais formal e a comunidade que consumia o material cresceu, o objetivo mudou
Hoje, já foram publicadas mais de 8.500 RFCs, incluindo guias de boas práticas, protocolos experimentais, materiais informativos e, claro, padrões da Internet
https://www.rfc-editor.org/rfc/rfc8700.html
Hoje em dia, é preciso dar sua opinião antes de chegar ao estágio de “Internet Standard”
Na época em que eu participava, também havia reuniões presenciais, mas a presença não era obrigatória
Este cabeçalho não acaba sendo só mais um pedaço de entropia usado pelas empresas que vão esfaquear de qualquer jeito?