22 августа 2019 года директор по разработке браузера Chrome Джастин Шух (Justin Schuh) опубликовал программную статью «Создавая более конфиденциальный веб». В ней:

1. Объявлено об инициативе по разработке ряда открытых стандартов для «фундаментального улучшения конфиденциальности в вебе» — Privacy Sandbox.
   
2. Декларируются принципы Google по отношению к конфиденциальности пользователей. Некоторые из них отличаются от подходов, которые реализуют разработчики Firefox и Safari. Например, Google выдвигает неожиданный аргумент, что блокировка куков вредит конфиденциальности.

По мнению некоторых комментаторов, аргументы Google «смешны и необоснованны», а сама инициатива в каком-то смысле неискренна и даже опасна. Исследователи в области безопасности Джонатан Майер (Jonathan Mayer) и Арвинд Нараянан (Arvind Narayanan) разбирают по пунктам «оправдания Google для отслеживания пользователей».

Разбор по пунктам

«Конфиденциальность имеет первостепенное значение для нас, во всём, что мы делаем, — заявляет Google. — Поэтому мы объявляем о новой инициативе по разработке набора открытых стандартов для фундаментального улучшения конфиденциальности в вебе. Мы назвали её Privacy Sandbox».

«Технология, которую издатели и рекламодатели используют, чтобы сделать рекламу еще более актуальной для людей, теперь используется далеко за пределами её первоначального замысла — до такой степени, что некоторые методы обработки данных не соответствуют ожиданиям пользователей о конфиденциальности». — здесь и далее цитата из документа Google

Google пытается ввести тезис, что некоторый уровень трекинга якобы соответствует первоначальному замыслу технологий и ожиданиям пользователей о конфиденциальности. Ни то, ни другое не является правдой, пишут Майер и Нараянан.

Во-первых, куки никогда не предусматривали слежку со стороны сторонних сайтов, а браузеры должны были блокировать сторонние куки. Это прямо указано в первоначальных спецификациях (RFC 2109, раздел 4.3.5).

Во-вторых, относительно ожиданий пользователей о конфиденциальности: исследование за исследованием показывают, что пользователи не понимают и не хотят повсеместного веб-отслеживания, которое происходит сегодня.

«В последнее время некоторые другие браузеры пытались решить эту проблему, но отсутствие согласованного набора стандартов для улучшения конфиденциальности несёт нежелательные последствия».

Это явно отсылка на системы блокировки трекинга Intelligent Tracking Prevention в Safari и Enhanced Tracking Protection в Firefox, которые специалисты считают полезными функциями конфиденциальности (о «нежелательных последствиях» позже).

«Крупномасштабная блокировка куков подрывает конфиденциальность людей, поощряя непрозрачные методы, такие как фингерпринтинг для уникальной идентификации пользователей. В отличие от куков, пользователи не могут стереть свои «отпечатки» и, следовательно, не могут контролировать сбор информации. Мы считаем, что это подрывает выбор пользователя и является неправильным».

Майер и Нараянан предлагают оценить абсурдность этого аргумента на следующем примере. Представьте себе, что местная полиция говорит: «Мы видим, что в нашем городе есть проблема карманников. Но если мы будем бороться с карманными кражами, карманники просто переключатся на грабежи. Это ещё хуже. Вы же этого не хотите?»

Конкретно, в тезисе Google есть несколько неправильных посылов. Во-первых, угроза фингерпринтинга — это аргумент для принятия дополнительных мер по защите от него, а не повод сдаваться. В реальности Apple и Mozilla уже предприняли шаги по защите от фингерпринтинга и продолжают разрабатывать средства защиты от этого метода отслеживания пользователей.

Во-вторых, защита конфиденциальности пользователей не похожа на защиту безопасности. Одно то, что умный обход куков технически возможен, не означает, что он будет широко использоваться. Фирмы сталкиваются с большим репутационным и юридическим давлением за такую практику. Google убедилась в этом на собственном опыте в 2012 году, когда реализовала технологию для обхода блокировки куков в Safari. Её заметили, и Google пришлось урегулировать правоприменительные действия с Федеральной торговой комиссией и генеральными прокурорами штатов. После этого Google полностью отказался от следящих куков для пользователей Safari. Исследования показывают, что сегодня фингерпринтинг применяется редко и нет никаких доказательств увеличения его использования в ответ на действия браузеров по блокировке куков.

В-третьих, даже если крупномасштабный переход к фингерпринтингу неизбежен (чего нет), блокировка куков по-прежнему обеспечивает хорошую защиту от стороннего трекинга с использованием стандартной технологии. Это лучше, чем пораженческий подход, который предлагает Google, пишут исследователи.

Они отмечают, что Google не первый раз приводит неискренние аргументы, что защита конфиденциальности вызовет обратный эффект: «Мы называем это газлайтингом приватности. Это попытка убедить пользователей, что очевидная защита конфиденциальности, принятая конкурентами Google, на самом деле не является защитой» [примечание: газлайтинг — форма психологической манипуляции, чтобы заставить человека сомневаться в адекватности своего восприятия окружающей действительности].

«Блокировка куков без альтернативного способа доставки релевантной рекламы сильно подрывает источники финансирования издателей, что ставит под угрозу будущее динамичного интернета. Многие издатели продолжали инвестировать в свободно доступный контент, потому что были уверены, что реклама покроет их расходы. Если сократить финансирование, мы обеспокоены уменьшением количества доступного контента. Недавние исследования показали, что при уменьшении релевантности рекламы финансирование издателей падает в среднем на 52%.

Исследователи видят в этих словах «откровенный патернализм». Google считает, что он лучше пользователей знает, какая конфиденциальность им нужна. Мол, людям будет лучше без конфиденциальности.

Что касается «недавних исследований», на которые ссылается Google, это один абзац в одном блог-посте с результатами внутренних измерений Google, которые проведены с вопиющим игнорированием деталей измерения, которые необходимы для того, чтобы получить хоть какую-то уверенность в надёжности результатов. «И пока мы обсуждаем анекдоты, международное издание The New York Times недавно переключилось с поведенческой рекламы (основанной на трекинге) на контекстные объявления и геотаргетинг — и не испытало никакого снижения доходов от рекламы», — пишут исследователи.

«C сегодняшнего дня мы будем работать с веб-сообществом для разработки новых стандартов, которые повышают конфиденциальность, продолжая поддерживать свободный доступ к контенту… Некоторые идеи включают в себя новые подходы, чтобы рекламные объявления по-прежнему были актуальны для пользователей, но при этом свести к минимуму пользовательские данные, совместно используемые с веб-сайтами и рекламодателями, путём анонимного агрегирования информации о пользователе и хранения гораздо большего количества информации о пользователе только на устройстве. Наша цель заключается в создании набора стандартов, которые в большей степени соответствуют ожиданиям пользователей о конфиденциальности».

В этих идеях нет ничего нового. Таргетинг рекламы с сохранением конфиденциальности является активной областью исследований более десяти лет. Один из авторов (Джонатан Майер) неоднократно предлагал Google внедрить эти методы во время переговоров по реализации стандарта Do Not Track (в 2011?2013 гг). Google последовательно настаивала, что эти подходы технически неосуществимы.

Исследователи подчёркивают: «Если реклама использует глубоко личную информацию для обращения к эмоциональным уязвимостям или использует психологические склонности, подталкивая к покупке, то это является формой нарушения конфиденциальности — независимо от технических деталей».

«Мы следим за процессом веб-стандартов и ищем отзывы отрасли о наших первоначальных идеях для песочницы конфиденциальности. Хотя Chrome может быстро принимать меры в некоторых областях (например, ограничения на отпечатки пальцев) разработка веб-стандартов является сложным процессом, и мы знаем по опыту, что изменения экосистемы этой области требуют времени. Они требуют значительного обдумывания, обсуждения и вклада многих заинтересованных сторон и, как правило, занимают несколько лет».

У Apple и Mozilla защита от трекинга включена по умолчанию уже сейчас. Между тем, Google говорит о «многолетнем процессе» для какой-то неполноценной реализации защиты конфиденциальности. И даже это смутно: рекламные площадки затянули процесс стандартизации трекинга более чем на шесть лет, без какого-либо значимого результата. Если история чему-то и учит, то запуск процесса стандартизации — эффективный способ для Google показать активность в области защиты конфиденциальности, но без фактических действий в этом отношении, считают авторы.

Исследователи уверены, что среди разработчиков Chrome много умных инженеров, увлечённых защитой пользователей, и они проделали невероятную работу по веб-безопасности. Но маловероятно, что Google может обеспечить конфиденциальность в интернете, поскольку защищает свои бизнес-интересы, а Chrome продолжает отставать от Safari и Firefox.

Здесь они приводят фрагмент из книги Шошаны Зубофф «Эпоха капитализма наблюдения» (The Age of Surveillance Capitalism):

«Требовать конфиденциальности от капиталистов наблюдения или лоббировать прекращение коммерческого наблюдения в интернете — всё равно что просить старого Генри Форда собирать вручную каждую Model T. Это всё равно что просить жирафа укоротить шею или корову перестать жевать. Эти требования являются экзистенциальными угрозами, нарушающими основные механизмы выживания субъекта».

Авторов разочаровывает только то, что разработчики Chrome приводят неискренние технические аргументы, чтобы скрыть бизнес-приоритеты Google.

---