Google предлагает внедрить новую технологию интернета под названием «First-Party Sets» (First-Party множества, FPS), которая сделает границы приватности между сайтами более уязвимыми. Это опасно и вредно. Сеть медленно, спустя долгое время и после многих проблем, наконец подходит к идее «сайта» как границы конфиденциальности в Сети. Предложенная гуглом технология разрушит эту границу, уничтожив результаты работы в этом направлении браузеров, исследователей и активистов по защите конфиденциальности.
По сути, FPS позволит нескольким сайтам объявить себя одним сайтом, а браузер даст возможность этим сайтам обмениваться информацией между собой (естественно, отслеживая пользователей), как если бы они были одним и тем же сайтом. Вред от этого очевиден: это позволит компаниям автоматически трекать вас по различным страницам в сети без какого-либо предупреждения или вашего согласия.
Если эта технология будет внедрена в Google Chrome, браузерам, заботящимся о конфиденциальности, будет сложнее защищать своих пользователей. Доминирование Chrome на рынке означает, что с течением времени другим браузерам скорее всего придётся внедрить всё больше элементов этой технологии для поддержки веб-совместимости. Мы призываем всех, кому важна приватность в сети, противостоять этому предложению от большого брата.
Что это за технология, и почему важно о ней знать?
FPS — это радикальное изменение того, как работает конфиденциальность в сети. FPS позволит большему количеству сайтов отслеживать ваше сетевое поведение и затруднит понимание пользователями того, как распространяется их информация.
Сейчас большинство браузеров используют (или планируют использовать) сайт в качестве границы конфиденциальности в сети. Это возникшее сейчас общее согласие является результатом многолетней коллективной работы учёных, инженеров и активистов в сфере безопасности. По сути, это означает, что сайт (и трекеры на этом сайте) не должны иметь возможность узнать, что вы делаете на других сайтах. Укрепление границ между сайтами предоставляет пользователям больший контроль над тем, кто может узнать об их интересах и их поведении. Такие предсказуемые и интуитивно понятные границы конфиденциальности являются необходимым (хоть и недостаточным) элементом сети, защищающей приватность пользователей.
FPS разрушит этот принцип сайта как границы, разрешив компаниям ослаблять меры защиты конфиденциальности между сайтами, которыми они владеют. Компании смогут обозначить все свои сайты как принадлежащие к одному множеству. В свою очередь браузеры, увидев такое обозначение, уберут механизмы защиты конфиденциальности между сайтами в одном множестве, что позволит трекать и идентифицировать пользователей на различных сайтах.
Например, Meta сможет объявить facebook.com, instagram.com и whatsapp.com принадлежащими к одному множеству, и таким образовать слинковать действия пользователей на этих трёх сайтах, и это при том, что многие пользователи целенаправленно держат различные и не связанные между собой профили на этих трёх сервисах.
Таким же образом Google сможет трекать пользователей по большому массиву своих сервисов: не только на тех, которые связаны с их головной компанией, Alphabet (такие, как google.com, googlemail.com, и youtube.com), но и на тех менее известных сайтах, о которых пользователи могут и не подозревать, что они связаны с гуглом (например, blogger.com, crashlytics.com, и admob.com). FPS позволит одному сайту трекать вас по всем таким сайтам, даже если вы не логинились на них и даже не создавали там пользовательский аккаунт.
Что ещё хуже, у пользователей не будет возможности повлиять на это: сайты будут самостоятельно и непрозрачно для пользователей определять свои границы конфиденциальности, что противоречит пользовательским желаниям и ожиданиям.
Вкратце, FPS сделает веб-конфиденциальность не тем, что могут контролировать пользователи, а тем, что контролируют сайты. У пользователей не будет даже возможности принять какое-либо решение о своей конфиденциальности до того, как урон уже будет нанесён.
FPS целенаправленно вводит пользователей в заблуждение
Основной принцип конфиденциальности заключается в том, что пользователи сети должны знать, с кем они вступают в коммуникацию, для того, чтобы принимать информированные решения о своей конфиденциальности. Уже сейчас это сложная задача, а FPS сделает принятие информированного согласия практически невозможным. Конкретный сайт — это базовая, неделимая сущность, с которой пользователь должен взаимодействовать, понимая её и принимая решения, связанные с ней.
Важность доверия к сайту отражена в пользовательском интерфейсе браузеров: все основные браузеры специально отражают статус изначального сайта в адресной строке или омнибоксе. Она также отражена в общих советах по безопасности в сети, которые пользователи в целом считают наилучшими рекомендациями (к примеру, пользователи знают, что они должны защищаться от фишинга, проверяя, что они действительно находятся на том сайте, на котором они думают, что находятся).
Всё, что уменьшает количество информации, доступной пользователям для принятия решений о конфиденциальности и безопасности, или делает её менее прозрачной, является грубейшим нарушением принципов сетевой безопасности. Именно это FPS целенаправленно и недвусмысленно делает.
Ещё одна причина сторониться Privacy Sandbox от Google
С присущей ему цинизмом, гугл продвигает FPS как технологию конфиденциальности. Они предлагают стандартизировать эту технологию в PrivacyCG, группе W3C, специализирующейся на разработке новых технологий, улучшающих конфиденциальность пользователей, и это несмотря на то, что FPS ослабит уже существующую защиту приватности пользователей во многих браузерах (включая Brave) и меры защиты, запланированные другими.
В гугле утверждают, что FPS улучшит защиту конфиденциальности, потому что это наконец-то позволит гуглу блокировать сторонние куки. Но это — проблема именно гугла, а не сети: другие браузеры блокируют сторонние куки годами, не создавая при этом недоразумений, которые находятся в основе FPS.
Простая истина заключается в том, что FPS не имеет никакого отношения к конфиденциальности, её главная цель в том, чтобы позволить компаниям продолжать идентифицировать и трекать пользователей на различных сайтах именно тем способом, который блокировка сторонних куки призвана не допустить.
FPS — это очередная попытка гугла цинично продвинуть свои интересы, на словах заботясь о конфиденциальности пользователей. Подобные технологии помогают в первую очередь самому гуглу, сайтам во вторую, а пользователям разве что в третью (если вообще помогают). FPS — это одна из многих таких вредоносных и вызывающих наши опасения технологий, предложенных в Privacy Sandbox, некоторые из которых уже внедряются в Chrome: Topics API рассказывает сайтам о ваших личных интересах; Web Bundles усложнит контроль над контентом, который вы загружаете и видите; FLEDGE централизует сеть и заставляет трафик и аккумуляторы пользователей работать на рекламодателей, и т.д.
В Privacy Sandbox полно троянских коней. Эта затея обещает «наконец-то» конфиденциальную сеть в Chrome, но по факту лишь ограничит прогресс в области веб-конфиденциальности именно в тот момент, когда движение за защиту интересов пользователей наконец набирает силу. Как пользователи, так и активисты должны сопротивляться гуглу, выбирая защищающие конфиденциальность браузеры (как Brave) и принимая участие в обсуждении стандартов.
Комментарии (25)
Mitch
01.06.2022 20:43Ну и ожидания у пользователей!
Я то ожидаю что если я зашел на какой то сайт с браузера которым где то ходил, то этот сайт, может знать про все сайты где я был с этого браузера.
А также знать все сайты посещенные с моего IP.Если я на самом деле хочу быть уверен что эта информация от сайта скрыта, то я использую отдельный профиль браузера и отдельный IP.
А как иначе?
Я там был, эти сайты все записали (могли записать) и поделились (могли поделится) этой инфой со всеми другими сайтами, с которыми сочли нужными.Избегать палива это задача пользователя, задача клиентского софта и настроек клиентского софта. Люди с паранойей развитой сильнее моей, вообще всегда под каждую виртуальную личность используют отдельную виртуальную машину, а не просто профиль браузера и они конечно правы, а мне просто лень сильнее соблюдать конфиденциальность.
Вообще, массового спроса на конфиденциальность нет.
Пользователю пофиг.
Поэтому все будет отслеживаться, этого не остановить в массовом сегменте.
Ну а кому надо, сами позаботятся о своей параное.
anonym0use
01.06.2022 22:28+4> Я то ожидаю что если я зашел на какой то сайт с браузера которым где то ходил, то этот сайт, может знать про все сайты где я был с этого браузера.
А также знать все сайты посещенные с моего IP.
А с какого, собственно перепугу вы так ожидаете? Кто и когда вас к этой мысли приучил?
Ожидаете ли вы, каждый раз уходя за хлебушком, что вас разденут до трусов? Если нет, то почему?
Те кому надо, могли бы сами нанять охрану и ходить в магазин в бронежилете и с автоматомMitch
02.06.2022 09:38Я же не писал что сайт "точно знает".
Может знать. Имеет техническую возможность, и имеет мотивацию, это уже много.
И конечно я учитываю то, что меня могут ограбить, когда выхожу из дома.
То что и домой могут прийти грабить - тоже учитываю.
BraveSoftware Автор
02.06.2022 13:12Мы (и другие вендоры, напр. ФФ) делаем так, чтобы эти технические возможности у сайтов минимизировать. Статья (и весь наш блог) как раз об этом.
Mitch
02.06.2022 13:30Ну а хром не имеет такой цели.
Если для пользователя это важно, то хром стреляет себе в ногу, вы и другие вендоры, напр. ФФ увеличат свою долю рынка, если приватность важна пользователю.Вангую, что не важна, и никто из за уменьшения приватности уходить из хрома не станет.
BraveSoftware Автор
02.06.2022 14:47+1вы и другие вендоры, напр. ФФ увеличат свою долю рынка, если приватность важна пользователю.
Так и есть, наша аудитория растет x2 каждый год, на протяжении 5 лет. Не могу правда тоже самое про FF сказать. У поиска DDG например рост весьма мощный, особенно в америке.
Если бы приватность была не важна, гугловцы и пальцем бы не стали шевелить, чтобы выдумать какое-то Privacy Sandbox и отключать сторонние куки.
Revertis
02.06.2022 00:27+5Раньше было так - вы заходите на десяток сайтов, и компания, держащая на этих сайтах счётчик, с помощью одной куки определяла и записывала всё, что вы посетили.
Сейчас браузеры разделили куки счётчиков в отдельные корзины - по одной корзине на сайт, и теперь компания счётчика не знает, что это один и тот же юзер.
А Гуглу это не нравится, у них
слежкабизнес уплывает из под ног. Поэтому они готовы нагло врать, что технологии, которые они предлагают, будут защищать приватность когда на самом деле они её убивают.
karambaso
02.06.2022 06:35-1Только ненадо думать, что Brave не готов вам точно так же нагло врать. Brave - это бизнес, построенный на рекламе, модель продвижения которой в массы базируется на убеждении аудитории в наличии "анонимности", чего на самом деле нет, поскольку на их собственном сайте утверждается (в разделе для рекламодателей), что какие-то алгоритмы машинного обучения на каждом пользовательстком компьютере отслеживают предпочтения и отдают эту информацию конторе Brave для распространения таргетированной рекламы. То есть каждый пользователь там идентифицирован, возможно без ФИО, но уж точно любой сеанс в браузере будет привязан к некому ID. Вот вам и анонимность.
Борьба с гуглом конторами, ориентированными на те же самые цели, что и гугл, может вызывать только смех. Но для осознавших это пользователей Brave смех будет сквозь слёзы. То есть это не борьба, это просто бизнес, просто конкуренция с гуглом, в которой используется приманка в виде обещания "конфиденциальности".
Revertis
02.06.2022 11:00Я Брэйвом не пользуюсь и никогда не буду. Но спасибо вам, что расписали это всё.
BraveSoftware Автор
02.06.2022 13:09отслеживают предпочтения и отдают эту информацию конторе Brave для распространения таргетированной рекламы.
Можно попросить вас точную цитату, и ссылку на это утверждение?
К сожалению, это неправда, поэтому дальше можно не читать.
Машинное обучение и результирующая информация не покидают устройства клиента. Никаких персистентных ID мы конечно же не собираем. Это не говоря о том, что реклама с пуш-нотификациями Brave Ads по умолчанию выключена.
karambaso
02.06.2022 20:34Это правда. Вы сами признаёте, что некое машинное обучение присутствует. Далее простой вопрос - а на каких данных оно учится? И куда оно посылает результаты обучения? Ответ очевиден - кроме данных о использовании браузера других там просто нет. И без отправки данных вам вы не сможете отправить в браузер таргетированную рекламу. Ну и тот факт, что результаты обучения не могут не храниться где-нибудь, означает, что вы не можете не привязаться к конкретной установке браузера, иначе вам эти данные просто незачем собирать. Называете ли вы это ID или по другому - совершенно неважно.
Ну и ссылка: https://brave.com/ru/brave-ads/
Там есть раздел "В чем особенности рекламы в Brave?". В нём подраздел "Эффективность и конфиденциальность". Там всё и написано.
BraveSoftware Автор
02.06.2022 21:06Благодарю за ссылку! Можете теперь пожалуйста привести конкретную цитату, дабы глубина вашего заблуждения была видна всем читателям комментариев? Спасибо.
Повторю ещё раз - никакие идентифицирующие вас данные не покидают устройства пользователя. Поэтому компания их никаким образом не получает и не собирает.
karambaso
03.06.2022 11:35Место хранения данных значения не имеет. Значение имеют алгоритмы, которые на данных запускаются. Упрощающий пример - майнить можно и в чужом браузере, от этого намайненный биткойны не становятся дешевле. Жаль, что приходится объяснять такие очевидные вещи.
Ну а цитата - давайте уж не будем изображать дотошность там, где в ней нет никакого смысла.
BraveSoftware Автор
02.06.2022 13:12Массовый спрос на конфиденциальность конечно есть, иначе гугл бы не стал носиться со своими "инициативами" в виде Privacy Sandbox, а эппл не крутил бы в ящике рекламу про "приватность - это айфон". Это дюже массовый тренд сегодня, возможно ещё не полностью докатившийся до рунета.
А как иначе?
Пользоваться нормальными браузерами и другим инструментарием. Тогда 90% массовой потребности в приватности будет удовлетворено, для остального - ТОР браузер, другие айпишники и т. д.
Mitch
02.06.2022 13:37Imho менее 1% пользователей учитывают приватность при выборе браузера.
Поэтому я считаю запрос на приватность не массовым.BraveSoftware Автор
02.06.2022 14:50Не совсем. Если вы проведете опрос среди пользователей, то как раз более половины скажут, что приватность это очень важно для них. При этом процент пользователей, который сознательно выбирают браузер, или вообще знают такое слово, очевидно, весьма мал.
geekmeek
Правильно ли я понимаю, что это открывает сайтам возможность обмениваться информацией между браузерными вкладками разных сайтов, если они отнесены к одному множеству?
Если так, то почему бы им не реализовать этот обмен через свой бекенд, или это на порядки сложнее?
Moraiatw
Для этого бекенд должен знать, что разные вкладки открыты одним пользователем.
geekmeek
Не обязательно изначально знать. Если сайт открылся в браузере, и хочет узнать своих сородичей в соседних вкладках, он может через свой бекенд послать запросы на всё своё множество, открыты ли они тоже у юзера с их профилем/аккаунтом/ID/фингерпринтом/или как они там метят нас...
Moraiatw
Так весь смысл статьи в разграничении контекста сайтов. Чтобы, если юзер зашел на разные сайты (сервисы одного провайдера) под разными логинами, то для провайдера это были разные юзеры. В т.ч. обходные пути типа фингерпринта тоже должны блокироваться. По уму, единстсвенное, что общего должен видеть бекенд это одинаковые IP юзера.
geekmeek
Нуу, вы ведь и сейчас, и без принятия новых правил, никак не запретите сайту обмениваться данными по бекенду со своим множеством по общей базе (тот же ютуб может по гуглу логиниться). Так вот, что мешает им определять открыт ли у меня на соседней вкладке другой их сайт по авторизованному аккаунту, да даже по неавторизованному, по IP и ФП, которые он смог высосать по тракту.
А в сабже же опасения, что нововведения откроют сайту дыру уже между вкладками напрямую, заявившись сайтом одной корпорации, даже если у них нет ничего общего по бекенду например.
BraveSoftware Автор
Верно, статья про то, что гугл открывает себе очень удобную дырку под флагом улучшения конфиденциальности. На сегодняшний день, такая дырка - это сторонние куки, но все приличные браузеры их уже не сохраняют.
Moraiatw
Смотрите: я в одной вкладке залогиинен на фейсбуке как Вася. В другой вкладке - в инстаграмме как Петя. Инстаграм отправит бекенду запрос "не залогинен ли у тебя в фейсбуке Петя?". У фейсбука залогинен только Вася, Петю он не видит.
geekmeek
Формально да, но они легко могут распознать, что вы один и тот же персонаж по вышеприведенным сигнатурам, и смогут всовывать таргет-рекламу, если конечная цель будет в этом.
Но мои изначальные опасения были в том, что инструментарий и так у них вполне самодостаточный (даже один и тот же ip и браузер в один промежуток времени - уже в подавляющем большинстве случаев вы один и тот же человек), а если брать умышленно анонимов, то это капля в море, и нет смысла гоняться за такими, все равно не угнаться. А то что они ещё и хотят без труда напрямую получить эту инфу, просверлив прямую дыру между вкладками - это не столько прибавит пользы им, сколько вреда в безопасности пользователям.