1 puan yazan GN⁺ 2023-09-09 | 1 yorum | WhatsApp'ta paylaş
  • Threads onboarding’i kayıt sürecini hızlandırıyor, ancak “How Threads works” ekranındaki küçük gri bağlantı kişisel veri toplamanın kapsamını fark edilmeyecek kadar geri planda bırakıyor
  • App Store’daki Threads Privacy bölümünde Health data, Financial Info, Browsing History, Sensitive Info gibi uzun bir liste yer alıyor; Avrupa veri koruma yasalarına göre reklam hedefleme amacıyla kişisel veri işlemek için geçerli bir hukuki dayanak gerekiyor
  • Meta, hassas veri toplama ve Instagram hesabı silmeyle bağlantıyı yeterince görünür kılmadığı için framing ve Roach Motel dark pattern tartışmalarını büyütüyor
  • Apple, güçlü bir gizlilik imajı öne sürüyor; ancak “Ask App Not To Track” beklenildiği gibi çalışmayabiliyor ve reklamverenlerin IDFA yerine fingerprinting kullanabildiğini gösteren incelemeler ve araştırmalar bulunuyor
  • App Store’un üst kısmına net bir gizlilik uyarısı ya da privacy score yerleştirmek, kullanıcıların indirme kararlarını ve geliştiricilerin veri pratiklerini değiştirecek bir baskı oluşturabilir

Threads onboarding’inde ortaya çıkan şeffaflık sorunu

  • Threads, yeni bir uygulamaya duyulan ilgiden ve basit onboarding’den yararlanarak kullanıcıların kayıt akışını hızla geçmesini sağlıyor
  • “How Threads works” ekranı sıradan bir onboarding gibi görünüyor, ancak gerçekte çalışma biçimi ve verilerle ilgili bilgiler küçük gri metinli bir bağlantının arkasına yerleştirildiği için okunması zorlaşıyor
  • Buradaki asıl nokta, veri toplanıp toplanmamasından çok, davranış ne kadar daha müdahaleci ya da riskli ise bunun kullanıcıya o kadar açık biçimde bildirilmesi gerektiği

App Store gizlilik bölümündeki uzun veri toplama listesi

  • App Store’daki Threads Privacy bölümünde şu veri türleri gösteriliyor
    • Health data
    • Financial Info
    • Browsing History
    • Sensitive Info
    • Other Data
  • Threads, müdahaleci izleme nedeniyle Avrupa’da yayımlanamamıştı ve Avrupa veri koruma yasalarına göre Meta’nın reklam hedefleme için kişisel veri işlemesinde geçerli bir hukuki dayanağa ihtiyacı var
  • Son mahkeme kararlarının ardından Meta’nın gizlilik politikası etrafındaki belirsizlik de arttı

Framing ve düşük T.I. oranı

  • Framing, bilginin sunuluş biçiminin kullanıcı kararlarını değiştirmesi olgusudur
  • Aynı gerçekler gizlenecek ya da yanlış anlaşılacak şekilde yerleştirilirse bu etik dışı framing olur
  • Threads’in “How Threads works” ekranı, veri toplamanın yoğunluğunu açıkça öne çıkarmak yerine bunu kayıt akışı içine gömüyor
  • T.I. ratio, bir ürünün şeffaflığının (Transparency) kullanıcıya yönelik risk veya müdahalecilikle (Intrusiveness) orantılı olması gerektiğini söyleyen bir ölçüttür
    • Çok hassas veriler isteniyorsa bunun açıkça öne çıkarılması uygundur
    • Meta’nın akışı, müdahaleciliğe kıyasla şeffaflığın düşük kaldığı bir örnek olarak görülebilir

Instagram hesabı ve Roach Motel dark pattern’i

  • Threads kayıt düğmesine bastıktan sonra Instagram hesabıyla bağlantı sorunu yeterince görünür biçimde ortaya konmuyor
  • Threads’i silmeye çalışırken Instagram hesabının da silinmesi yapısı Instagram ransom olarak adlandırılıyor
  • Roach Motel dark pattern’i, içine girmenin kolay ama çıkmanın zor olduğu kullanıcı yolculuklarını ifade eder
  • Threads’in hesap silme akışı da düşük T.I. ratio içeren bir kullanıcı yolculuğuna karşılık geliyor

Apple’ın gizlilik imajı ve Privacy Washing

  • Apple, reklam ve billboard’lara büyük bütçeler ayırarak kendisini bir Guardian of Privacy gibi gösteriyor
  • Ancak App Store arkasında izin verilen veri toplama pratiklerine bakıldığında, Apple’ın gizlilik iddialarına beklenildiği kadar güvenmek zor
  • Privacy Washing, gerçekte korumadığı hâlde gizliliği koruyormuş gibi yapma anlamına gelir
  • “Ask App Not To Track” düğmesine bassanız bile bu özellik beklediğiniz şekilde çalışmayabilir
    • Bunu destekleyen kaynaklardan biri Oxford University iOS App Tracking araştırmasıdır
    • Reklamverenler, Apple’ın mevcut IDFA sistemi yerine verileri fingerprinting ile eşleyip reklamverenlere gönderebilir
    • iPhone’daki izleme korumasının, Apple reklamlarının ima ettiği kadar güvenilir olmadığını öne süren incelemeler de bulunuyor

App Store’da neden daha doğrudan uyarılar gerekli

  • Apple gizliliğe gerçekten önem veriyorsa, App Store listelemelerinin üst kısmına daha net bir gizlilik uyarısı yerleştirebilir
  • Safari Browser zaten gizlilikle ilgili, kullanıcıların aşina olduğu bir gösterim kalıbı kullanıyor
  • Privacy score’un öne çıkarılması, kullanıcıların kötü veri pratiklerine sahip uygulamaları indirme olasılığını azaltabilir
  • Bu, geliştiriciler üzerinde kullanıcı gizliliğine daha fazla saygı göstermeleri yönünde baskı oluşturur
  • Gizlilik gerçekten önemliyse Apple, App Store’da iyi pratiklere sahip uygulamaları daha üst sıralarda gösterebilir

1 yorum

 
GN⁺ 2023-09-09
Hacker News yorumları
  • Facebook'un bize aktif biçimde zarar vermesiyle, Apple'ın önerilen metrikleri ürünlerine koymayıp App Store'daki popüler uygulamalara pasif biçimde izin vermesini karşılaştırmak haksız görünüyor
    Apple hayranı değilim ama Apple, Facebook değil

    • Apple, popüler web'in yarısına takip pikseli yerleştirmiş bir şirket değil
      Apple'ın ana gelir kaynağı üst düzey donanım ve abonelik hizmetleri; Facebook ise mahremiyeti ve dikkati alıcılara satan bir şirket
    • Yanlış. Apple da bize aktif biçimde zarar veriyor
      Birkaç yıl önce uygulamaların açılması bir süre aşırı yavaşlamıştı; sebep Apple telemetri web servisi arızasıydı: https://forums.macrumors.com/threads/mac-apps-not-opening-or...
    • Facebook hayranı değilim ama Facebook hiçbir zaman kendisini temel insan haklarının savunucusu ya da mahremiyetin guardian'ı olarak sunmadı
      Bazıları onları kötü ya da daha az kötü diye adlandırıyor; ben ise Apple'a hem kötü hem de ikiyüzlü demek isterim
    • Hatta yazı, Apple'a haksız denecek kadar iyi niyetli yorum yapıyor
      Apple, üçüncü taraf uygulama geliştiricilerine dayattığı IDFA şeffaflığı gerekliliklerinde kendisini muaf tutuyor ve Fransa ile AB gibi yerlerde hukuki soruşturmalara konu oldu: https://gizmodo.com/apple-iphone-analytics-tracking-even-whe...
      Ayrıca Apple, kanunen zorunlu olmadığı hâlde iCloud yedeklerinde CSAM taraması yapıyor. Meta bunu WhatsApp'ta yapmadı, Signal ise zaten yapmaz. Bugün CSAM, yarın iktidarı eleştiren mesajlar olabilir. Apple, uçtan uca şifrelemede temel bir etik çizgiyi aştı ve artık şifreleme açısından tamamen güvenilmez
      Apple'ın pazarlaması çok etkili, ancak mahremiyet konusunda diğer büyük teknoloji şirketlerinden daha iyi olduğu fikri biraz kurcalandığında içi boş bir pazarlama sloganından ibaret. Kimseye güvenilemez. Şu anda mahremiyeti gerçekten korumanın yolu, internete açık kaynak yazılım çalıştıran MiFi benzeri bir yönlendiriciyle bağlanmak ve Jordan Geoghegan'ın unbound-adblock'u gibi outbound firewall engelleme listeleri uygulamak gibi şeyler: https://geoghegan.ca//unbound-adblock.html
    • Meta'nın iddia ettiği mahremiyet korumasına kimse inanmıyor
      Uçtan uca şifreleme yapsa bile, bunun dışında toplayabileceği her şeyi topluyor
  • İnsanların ürpertici reklam şirketlerinden ne zaman bıkacağını merak ediyorum
    Target'tan, bilgilerimi varsayılan olarak bağlı olmayan üçüncü taraflara satacaklarını ve reddetmek için telefon etmem ya da mektup göndermem gerektiğini söyleyen bir posta aldım. Bir noktada buna onay vermişimdir ve ücretsiz sadakat programına katılan birinin açıkça duymasa bile böyle şeyleri kabul ettiğini bilmesi gerekir; ama faydaların yanında müşterinin ödediği gerçek maliyetin de belirtilmesi gerekmez mi diye düşünüyorum
    Geçen hafta CVS'te reçeteli ilaç alırken, ad ve adres doğrulaması ile ödeme ya da reçeteyi teslim alma imzası arasına pazarlama onayını sıkıştırmışlardı; bunun reçeteli ilaç satın alımıyla ilgili bir onay olmadığını fark etmeden aptalca onayladım. Büyük olasılıkla hasta olan ve ilacını alıp normale dönmek isteyen birinin karşısına, bilgilerini satmaya yönelik rızayı gizlice koymuşlar
    Bunların hiçbiri hayatımı iyileştirmiyor. Ben bir şeye para ödeyip alışverişi bitirmek, sonra bir sonraki alışverişe kadar ilişkiyi kesmek istiyorum. Tüm reklamverenlerin satın aldığım her şeyi, hatta alışkanlık hâline gelmiş alışverişlerimi bile bilmesine gerek yok
    Reklam teknolojisi sektöründe çalışıyorsan ya da daha fazla bilgi toplamak için kullanılan frontend düzeneklerinden sorumluysan, bundan gerçekten nefret ediyorum; bu son derece ürkütücü ve sen ürkütücü olmasan bile ürettiğin şeyler ve birlikte çalıştığın insanlar öyle. İnsanların doğal olarak özel saydığı kişisel bilgileri satmaya kandırmanın türlü yollarını bulmak iğrenç, ahlaksız ve aldatıcı. Müdahaleci reklam teknolojisini çökertmeye yardımcı olmak için yöntemleri, hileleri ve açıkları sızdırmalısınız

    • Artık CVS alışveriş deneyimine dayanarak öneri sisteminin göstermesi gerektiğine karar verdiği reklamları göreceksin; eve biri geldiğinde ya da cihazı başka biri kullandığında bu epey utanç verici olabilir
      Bir aile üyesinin evine gittiğimde çıkan reklamlara bakarak, o kişinin daha önce gizli olan tıbbi durumunu tahmin edebilmiştim
    • İnsanlar ücretsiz hizmetler aldığı sürece bıkmayacak
    • Parlak yeni i cihazları üretmeye devam ettikleri sürece hiçbir şey değişmeyecek
    • Ben de her gün aynı şeyi düşünüyorum. Birkaç yıl önce zaten bıkmıştım, şimdi ise her şeye öfkeliyim
      Daha kötüsü, yapabileceğim bir şey olmadığı için bunun çaresiz bir öfke olması
      Mümkün olduğunca fazla takibi zaten engelliyorum; bu uygulamaları kullanan şirketlere ya da bu şirketlerin hizmetlerini kullanan firmalara para vermemeye çalışıyorum; fiziksel mağazalarda nakit ödüyorum ve online alışverişten de olabildiğince kaçınıyorum
      Yine de yeterli değil. Reklam şirketleri insanlarla savaş hâlinde ve kazanıyorlar
    • Bu arada çoğu sadakat programına, kartı kullanmayı düşünüyorsan bilgi vermeden de katılabilirsin
      Kart istemiyorsan genellikle geçersiz ya da rastgele bir telefon numarasını da kabul ediyorlar. Elbette bu bir çözüm değil ve sorunun kendisini düzeltmek gerekiyor; ama en azından kısmi bir geçici çözüm oluyor
  • Reklam temelli sosyal uygulamaların muazzam miktarda veri topladığı doğru
    Ancak Apple’ın gizlilik widget’ı listesi, insanlar her şeyi paylaşabildiği ve Meta gönderi içeriklerini reklam hedeflemede kullandığı için yalnızca kapsamlı bir liste gibi görünüyor
    Yakın zamanda Apple’ın onboarding akışından geçip geçmediğinizi merak ediyorum. Apple ID oluşturup iPhone kurma süreci de epey benzer; bitmek bilmeyen veri kullanımına izin veren benzer tıklamalı şartlar var. Bunlara [1], [2], [3], [4], [5] dahil
    Apple gizlilik pazarlamasını çok iyi yaptı, ama başka şirketleri eleştirirken işaret ettiği uygulamaların neredeyse hepsini kendisi de yapıyor
    Ayrıca Threads’in Avrupa’da çıkmamış olması, ürünler arasındaki DMA veri ayrıştırma gereklilikleri yüzünden. Burada ima edildiği gibi toplanan verinin istilacı niteliğinin kendisiyle ilgili değil [6]
    [1] https://www.apple.com/legal/privacy/pdfs/apple-privacy-polic...
    [2] https://www.apple.com/legal/privacy/data/en/apple-id/
    [3] https://www.apple.com/legal/sla/docs/iOS16_iPadOS16.pdf
    [4] https://www.apple.com/legal/internet-services/itunes/
    [5] https://www.apple.com/legal/internet-services/icloud/
    [6] https://www.theverge.com/23789754/threads-meta-twitter-eu-dm...

  • Gizlilikten bahseden bir blog yazısı ama vercel-insights.com, www.google.com, ‘Sign up with Google’, “Microsoft, Amazon, facebook, Google, Disney gibi şirketlerden 132.793 kişi katıldı” görünüyor
    “Yine o tuhaf his”

    • İronik. Ayrıca yazar Android ve Google hakkında hiç bir şey söylemiyor gibi görünüyor
    • Çizgi romanın içinde “biraz veri toplamak yanlış değildir” deniyor
  • Bu yazı Meta’nın gizlilik ihlallerini Apple’ın suçuymuş gibi birbirine karıştırıyor gibi görünüyor
    İşletim sistemi parmak iziyle takibi her zaman daha zor hale getirebilir ve App Store da daha fazla “gizlilik uyarısı” ekleyebilir. Ama sonuçta gizliliği ihlal eden üçüncü taraf bir uygulama kullanırsanız, o uygulama her zaman verileri türlü yollarla emer. Bunu Apple’ın gizliliği umursamadığına kanıt olarak kullanmak dürüstçe değil

    • Dürüst olalım, mevcut alternatif Android
      Yani Meta’nın her şeyi emmesi yerine Google her şeyi elektrikli süpürge gibi içine çeker, bunun da daha fazlası Meta’ya akar
    • İşletim sistemi, uygulamaların altındaki katmandır. Hangi verilerin gönderileceğini elbette kontrol edebilir
      Bugünkü yazılım modeli bunu kolaylaştırmıyor olabilir, ama Apple’ı suçlamak yeterince dürüst ve anlaşılır
      Bilgisayarları mutlaka veri sızdıran, kontrol edilemez makineler olarak görmeyi bırakmalıyız. Bilgisayarları insanlar yaptı
  • Eğlenceli küçük bir sunumdu; çok yeni bir şey yoktu ama uygulamanın güven düzeyini rozetlerle gösterme fikri fena değildi
    Ama son sayfadaki e-posta listesinde “Sign up with Google” çıkınca tüm güvenilirlik uçup gitti. Komik

  • Gizlilik garantisi istiyorsanız internete bağlı hiçbir şeyi kurmamalı ya da kullanmamalısınız
    HN bile, üslup analizi ve istekli bir aktör varsa buradaki kullanıcı adlarını başka herkese açık yazılarla kolayca ilişkilendirebilir. Daha da istekli bir aktör, özel olarak yazılmış yazılarla bile ilişkilendirebilir. Çünkü bu kadar çok veri sızıntısı var
    Güvenlik için çevrimdışı kalmalısınız. Elbette modern çağda bu birçok kişi için gerçekçi değil. O zaman soru artık ne kadar ya da ne toplandığından bağımsız olarak, hangi şirketin beni herhangi bir şekilde satma ihtimalinin en düşük olduğu oluyor. Neredeyse her ölçüte göre Apple bu listenin üst sıralarında. Ama en üstte değil. Mullvad gibi şirketler, hiç veri toplamadan hizmet sunuyor; teoride nakit öderseniz bunun size geri dönmesinin bir yolu da yok
    Kişisel olarak, veri toplanıp toplanmadığından çok, işlem yaptığım kuruluşa güvenip güvenemeyeceğim daha önemli. Büyük teknoloji şirketleri arasında geçmiş performansına bakınca en çok Apple’a güveniyorum, ama Apple ürünleri kullanırken mutlak gizlilik yaşadığım gibi bir yanılsamam yok; kimsenin de olmamalı

    • Herkese açık çok fazla yazısı olan bir kamu figürü değilseniz, üslup analiziyle sıradan insanları tanımlayabileceğiniz ya da platformlar arası hesapları bağlayabileceğiniz fikri bana pek ikna edici gelmiyor
      Gerçekçi biçimde ikna edici kanıt görmek isterim. Özellikle karakter sınırları veya platforma özgü kullanım kalıplarındaki farklılıklar engel olabileceğinden
    • Apple da Google ve Meta ile aynı nedenle veri topluyor. Reklam satmak için
      Apple’ın daha iyi yaptığı tek şey PR
    • Çinliyseniz istisna olur herhalde?
      https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
    • Tüm yorumları farklı bir üslupla yeniden yazan bir LLM’den geçirirseniz ya da her başlık için tek kullanımlık hesap oluşturursanız üslup analizinden kolayca kaçınılabilir
      Otomasyon da zor değil
    • Kişisel olarak az da olsa güvenebileceğim tek bir teknoloji şirketi bile aklıma gelmiyor
  • Yıllardır gördüğüm en kötü kullanıcı deneyimi

    • “Hikâyeyi görüntülemek için klavye oklarını kullanın” ifadesi, Minecraft Legends’ın tıkladığınızda ya da Space, Esc veya diğer yaygın “tamam, anladım, devam et” tuşlarına bastığınızda “Başlamak için [sol fare düğmesi görseli] tuşuna basın” diye ipucu göstermesini hatırlatıyor
      Bir sonraki bölüme geçmek istediğimi anlayacak kadarsan, bunu nasıl istemem gerektiğini pasif-agresif biçimde söylemek yerine doğrudan sonraki bölüme geçebilirsin
      Ayrıntıları ve hâlâ böyle olup olmadığını kontrol etmek için Minecraft Legends’ı yeniden çalıştırdım. Biraz değişmiş ama başlangıç ekranında hâlâ “Başlamak için [sol fare düğmesi] tuşuna basın” çıkıyor; Space’e basınca da “Başlamak için [enter tuşu görseli] tuşuna basın”a dönüşüyor. Bu yüzden asıl demek istediğimin hâlâ geçerli olduğunu düşünüyorum
      Ayrıca video başladığında Esc’e basınca benzer şekilde “Devam etmek için ␣ tuşuna basın” ipucu çıkıyor. Ne istediğimi sandın ki, diye düşündürüyor
    • Ben tam tersini hissettim ama dizüstünde baktım
      RevealJS(https://revealjs.com/) kullanıyor gibi görünüyor. Başta bunu alternatif bir kullanıcı deneyimi olan bir “yazı” sandım ama aslında sadece bir slayt gösterisine daha yakın
      Mobilde de (Firefox, Android) denedim; bu format kesinlikle pek uymuyor. Yatay moda çevirince masaüstü sitesini olduğu gibi küçültüp sığdırıyor. Masaüstünde okunmasını önermeleri ya da ayrı bir mobil sürüm sunmaları gerekir gibi
    • Büyük kısmı yalnızca sol/sağ tuşlarını kullanan çok basit bir yöntem; bunun neden kötü kullanıcı deneyimi olduğunu anlamıyorum
    • Başta “pro ipucu” diyerek telefonu yanlış tuttuğumu söyledi, yatay moda çevirince de döndürmeyi yok saydı
      O noktada ilgili yazıdaki ifadeyle “eleştirel yok sayma”yı uyguladım
  • Bu çizgi romanın bu kadar özensiz olması şaşırtıcı
    Yapması eğlenceli olmuş olabilir ama propaganda yapmak yerine bilgi aktarsaydı iyi olurdu

  • Basit bir çözüm var
    “Unutulma hakkı”nı “hatırlanma izni”ne çeviren bir oylama önerisi hazırlayın; bu iznin de 1–3 yılda bir yenilenmesi gereksin. Şirket 3 yıl içinde izin alamazsa verileri silmek zorunda olsun. Bu izin devredilemez olmalı; yani Good Company, Inc.’de hesap açtıysanız ve Evil Corp, Inc. onu satın aldıysa, ikincisi yeni adıyla yeniden izin almak zorunda kalmalı. Veri brokerları da izin istemedikleri sürece bilgileri tutamamalı
    “Satışa itiraz hakkı” ise varsayılan ret ve açık onaya dönüşmeli. Yani varsayılan durum ret olmalı; şirket verileri satmak istiyorsa açık izin almak zorunda kalmalı

    • Hoşuma gitti ama tüm verileri ağırlıklarında hatırlayan bir sinir ağını eğittiğinizde ne yapmak gerekir?
      Bu şirketler öneri sistemlerini çalıştırmak için büyük derin sinir ağı modelleri kullanıyor gibi görünüyor. En azından benim bildiğim kadarıyla bir sinir ağından yalnızca belirli bir kişiyi seçerek unutmasını isteyemezsiniz
    • Umarım bu, Twitter’ın sevdiğim pasif hesapları daha fazla silmesine yol açmaz