Firefox descontinua suporte ao recurso "Do Not Track"
(windowsreport.com)- A configuração Do Not Track (DNT), que enviava aos sites a preferência de não ser rastreado, será removida a partir do Firefox 135, e a retirada da opção já foi confirmada nas compilações Nightly
- O DNT funciona por meio de um cabeçalho HTTP que informa a escolha do usuário, mas muitos sites não seguem esse sinal, o que reduziu sua eficácia
- A Mozilla concluiu que o sinal de DNT pode, em alguns casos, reduzir a privacidade, e confirmou a remoção em um item do Bugzilla e na documentação de suporte
- A alternativa é a configuração “Tell websites not to sell or share my data”, baseada em Global Privacy Control (GPC)
- Ainda não está claro o que acontecerá com usuários que tinham o DNT ativado ao atualizar para o Firefox 135, enquanto Chrome e Microsoft Edge continuam oferecendo a configuração de DNT
Remoção da configuração DNT no Firefox 135
- A Mozilla removeu a configuração Do Not Track (DNT) do Firefox
- A versão afetada é o Firefox 135 ou superior
- A mudança já pode ser vista nas compilações Nightly
- Em “Website Privacy Preferences” do Nightly, a opção “Send websites a ‘Do Not Track’ request” desapareceu
- O item do Bugzilla Remove DNT control from about:preferences#privacy também confirma a mesma mudança
Limitações do DNT e a alternativa GPC
- O DNT é uma configuração do navegador que permite ao usuário informar aos sites que não quer ser rastreado
- Quando ativado, ele envia aos sites um cabeçalho HTTP especial indicando a escolha do usuário de não ser rastreado
- O DNT foi introduzido em 2009 por Christopher Soghoian e Sid Stamm, e o Firefox foi o primeiro navegador a implementar o recurso
- O motivo da remoção é que muitos sites não respeitam o sinal de DNT e, em alguns casos, isso pode até reduzir a privacidade
- A documentação de suporte do Firefox informa que a caixa de seleção do DNT será removida a partir do Firefox 135
- A documentação também afirma que muitos sites não respeitam essa preferência de privacidade
- A alternativa recomendada pelo Firefox é o Global Privacy Control
- A configuração relacionada é “Tell websites not to sell or share my data”
- Essa opção foi construída sobre o GPC
- O GPC está sendo cada vez mais respeitado por mais sites e, em algumas regiões, é aplicado por lei
- Ainda não está claro o que acontece quando usuários que já tinham o DNT ativado atualizam para uma versão do Firefox afetada pela mudança
- Pode aparecer a mensagem “Firefox no longer supports Do Not Track”
- Ou ainda existe a possibilidade de o sinal continuar sendo enviado aos sites
- Outros navegadores, como Google Chrome e Microsoft Edge, ainda oferecem a configuração de DNT
- Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
- Microsoft Edge: Settings > Privacy, Search, and Services > ativar “Send Do Not Track requests”
1 comentários
Comentários do Hacker News
Eu estava trabalhando na Mozilla quando esse recurso foi implementado
Cabia totalmente aos sites decidir se dariam suporte, e no começo só alguns poucos sites davam suporte
Internamente, muita gente achava que ele deveria vir ativado por padrão, mas o argumento era que, se fosse assim, ninguém iria respeitar. Que plataforma de rastreamento deixaria de rastrear os 0,1% que entraram nas configurações e ativaram manualmente?
No fim, o Internet Explorer ativou por padrão e conseguiu uma boa repercussão na imprensa, mas como todo mundo passou a ignorar, isso acabou matando o recurso em si
No geral, fico feliz em ver esse recurso desaparecer. Na prática ele não fazia nada e, pior, dava uma falsa sensação de segurança ao parecer que fazia muita coisa
Ainda assim, seria bom se os modais de cookies de cada site subissem para o nível do navegador. Deve haver muitos motivos para isso ainda não ter acontecido, mas um grande motivo provavelmente começa com G e termina com Oogle
Se você ativar os filtros Cookie Banners e Annoyances nas configurações do uBlock Origin, os modais são removidos silenciosamente em segundo plano e você pode continuar navegando. Como você nunca consentiu, funcionalmente isso deveria equivaler a rejeitar no banner
Em navegadores ruins que não suportam uBlock Origin, como o Chrome no iOS ou Android, o bookmarklet Kill Sticky funciona de forma parecida: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
Sinto falta da época em que os navegadores priorizavam o usuário e ativavam coisas como bloqueio de pop-ups por padrão
https://www.5snb.club/posts/2023/do-not-stab/
Nós implementamos o DNT na infraestrutura de edge e já estávamos prontos para colocá-lo em produção
Mas a Microsoft, no meio da guerra com o Google e depois que suas ambições de ter a própria tecnologia de anúncios impulsionadas pela compra da aQuantive terminaram em uma baixa contábil de US$ 6 bilhões, quebrou o acordo ao ativar isso por padrão. Isso foi fatal para todo mundo
A indústria da publicidade nunca teria aceitado uma versão opt-out do DNT. Funcionava quando só uma minoria interessada ativava manualmente, mas deixava de fazer sentido quando o navegador dominante da época escolhia por todos os usuários
Entendo perfeitamente por que as pessoas odeiam rastreamento e anúncios personalizados. Eles ficaram mais invasivos nos últimos 10 anos, mas pelo menos naquela época eram essenciais para a web comercial
A única forma de parar o rastreamento é por meio de leis ou regulamentação. Soluções técnicas viram uma corrida armamentista sem fim e, para o usuário final, provavelmente é uma batalha perdida
O DNT era uma forma de mostrar que consumidores tinham interesse em não serem rastreados, e colocava as empresas na posição de ignorar um pedido explícito de privacidade por parte do consumidor
Infelizmente, ninguém conseguiu explorar isso de forma eficaz
Entendo que muita gente tenha uma impressão ruim dos movimentos recentes da Mozilla. Mas aqui, no pior dos casos, ela está removendo um recurso que quase ninguém respeitava
Esse recurso se baseava em um sistema de honra, e até o sistema de honra suíço faz verificações aleatórias. O navegador não tinha absolutamente nenhum meio de forçar isso
Ironicamente, ele também era usado como mais um ponto de dados para rastrear pessoas com maior consciência de privacidade que o ativavam de propósito
O Firefox implementou a alternativa Global Privacy Control, mas ela tem exatamente o mesmo problema, e há ainda menos sites que respeitam o GPC
Não é a solução real para as práticas hoje normalizadas de cyberstalking dos sites, mas também não dá para dizer que seja totalmente inútil
Se tivesse sido assim, isso teria valor jornalístico e, pelo menos na UE, talvez pudesse até ter sido considerado algo a ser imposto por regulamentação
Mas, na prática, o Do Not Track nunca teve chance de dar certo, e acho que isso foi intencional
Se alguém dependia só disso para privacidade online, precisava de mais informação
Por esse lado, remover isso pode até levar algumas pessoas a aplicar proteções mais fortes no navegador e, assim, de forma muito pequena, acabar ajudando a privacidade no geral
Já passou da hora de remover isso. Nunca produziu resultados significativos em privacidade e, na prática, acabou tendo o efeito oposto ao fornecer mais um sinal para identificar usuários de forma única e melhorar o rastreamento.
Dito isso, a prevenção de rastreamento como um todo é, por natureza, uma batalha quase perdida. Vá a https://amiunique.org/ e você verá o motivo.
Eu uso todas as proteções possíveis no Firefox, o modo de prevenção de rastreamento “strict” e o uBlock Origin, mas o rastreamento primário não tem como evitar.
Um exemplo impressionante é que, hoje em dia, os navegadores podem expor aos sites o número de núcleos de CPU do dispositivo. Só isso já basta para filtrar 80–90% dos usuários e, combinado com agente de usuário, IP e idioma, quase vira um identificador único.
https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...
Idealmente, em todos os navegadores — ou pelo menos no Firefox — apareceria um ícone na barra de endereço quando um site tentasse usar recursos avançados que permitam rastreamento, e fosse possível autorizar caso a caso.
Em outras palavras, não seria NoScript, e sim Low script.
Mesmo que hoje você consiga lidar com todos eles de alguma forma, a próxima atualização do navegador pode ativar um novo sinal, e também não dá para confiar que o amiunique.org esteja vendo todos os pontos de dados de identificação. No fim, é uma corrida armamentista impossível de vencer.
O que você quer é estar em um estado único de forma diferente para cada site que visita. Melhor ainda se o JavaScript vier desativado por padrão, para que os sites simplesmente não possam coletar 90% dos pontos de dados que o navegador expõe.
A proteção mais forte provavelmente seria usar uma VPN para mudar o endereço IP e aleatorizar o agente de usuário e outras pistas.
Ao mesmo tempo, também é preciso tornar isso ilegal.
O DNT parece uma tentativa “apressada” de alcançar o segundo objetivo sem respaldo legal.
navigator.hardwareConcurrency.Eu publiquei um polyfill de ataque por temporização para inferir essa informação, e no começo propus a API
navigator.hardwareConcurrencycomo substituta.Além da utilidade básica dessa API, os fabricantes de navegadores viram que ela poderia poupar bateria, já que os sites não precisariam mais fazer benchmark do dispositivo do usuário para descobrir esse valor.
Remover esse recurso prejudica a autonomia do usuário. Usuários do Firefox terão de lidar com prompts de consentimento mais irritantes.
A configuração padrão do Transcend Consent Management exclui o usuário de todas as finalidades de rastreamento não essenciais e também suprime automaticamente o prompt de consentimento quando o DNT está ativado, mas, se apenas o GPC estiver ativado, ele recusa somente “venda/compartilhamento de informações”.
Ao remover esse sinal centralizado de privacidade, alguns usuários deixam de poder expressar uma recusa total por padrão no Transcend Consent Management sem interagir com banners irritantes.
Na minha visão, essa mudança foi empurrada sem consideração e sem feedback adequados da comunidade web. A Mozilla agiu rápido demais, a ponto de quase ninguém perceber o problema antes de o issue ser fechado[1]. Para piorar, quando um issue é fechado, a Mozilla configurou o Bugzilla para impedir comentários adicionais de pessoas que não sejam funcionários da Mozilla.
Quando a equipe do Chrome propôs remover o DNT em 2023, eu também apresentei feedback parecido[2]. Eles levaram esse feedback em conta, e atualmente o DNT continua no Chrome, com a remoção adiada por tempo indeterminado.
Existem formas melhores de proteger a privacidade que não dependem de uma flag voluntária enviada a anunciantes na esperança de que seja aceita.
Especialmente em privacidade e segurança, recursos que passam uma falsa impressão de eficácia acabam sendo prejudiciais.
Ninguém deveria sentir que não será rastreado só porque ativou o Do Not Track. Isso está errado.
Por isso, o certo é remover.
O GPC é basicamente o mesmo que o DNT, mas, de acordo com [1], “o GPC melhora o DNT em vários aspectos”
Base legal: ao contrário do DNT, o GPC conta com o apoio de mais leis, como a CCPA, que exigem que as empresas respeitem esse tipo de sinal
Objetivo mais específico: o DNT tratava do rastreamento em geral, mas o GPC se concentra em interromper a venda ou o compartilhamento de dados, então é mais relevante para as exigências atuais de privacidade
Melhor chance de adoção: o GPC foi criado com contribuições de reguladores, defensores da privacidade e líderes da indústria, tentando se alinhar às leis existentes e cobrir lacunas funcionais anteriores
Mas, em essência, é quase a mesma coisa
Então, em vez de “o Firefox remove o DNT”, parece mais correto dizer que “o Firefox está descartando uma versão inicial ineficaz do GPC”
[1]: https://www.cookiebot.com/en/global-privacy-control/
O que eu quero é não ser rastreado. O rastreamento vem antes da venda. Eu não quero recusar a venda, quero recusar o rastreamento
Falam em “lacunas funcionais”, mas a única diferença entre GPC e DNT é que o DNT envia
DNT: 1e o GPC enviaSec-GPC: 1As empresas que não respeitavam o DNT também não vão respeitar o GPC. A única diferença aqui é que no IE o GPC não fica ativado por padrão, enquanto o DNT fica
Se entendi corretamente, o DNT está sendo descontinuado em favor da nova proposta “Global Privacy Control”: https://w3c.github.io/gpc/
Então o Firefox agora enviará opcionalmente
Sec-GPC: 1em vez do headerDNT: 1, por meio de uma configuração separada da usada para o DNTNão vejo muito bem por que isso seria uma mudança útil. Como operador de um site que no passado implementou a ativação de código de anonimização quando o header DNT estava presente, eu posso adicionar código para também verificar o Sec-GPC, mas isso parece mudança por mudança
Se a mesma configuração do navegador estiver marcada, a Mozilla poderia simplesmente enviar os dois headers, e também é estranho fazer os sites verificarem ambos. Entendo querer um compromisso mais forte com
Sec-GPCdo que comDNT, mas este último é um subconjunto do primeiro, então talvez bastasse atualizar a descrição da caixa de seleção no cliente e enviar ambosO sinal “Do Not Track” era mais útil como sinal adicional para fingerprinting do que para impedir rastreamento
Tomara que agora consigam levar adiante algo mais robusto
Foi marcado para descontinuação em 2018 e removido em 2024. Para um recurso que estava sendo usado exatamente ao contrário do seu propósito, não é um cronograma surpreendente para ninguém
Eu acho que deveriam ter mantido e feito com que ignorar isso fosse considerado abuso legal na UE. Assim nem precisaríamos desses malditos banners de cookies
O uso era tão baixo que esse recurso estava sendo usado para rastrear as pessoas