Apple, Meta’ya karşı: gizlilik yanılsaması
(growth.design)- Threads onboarding’i kayıt sürecini hızlandırıyor, ancak “How Threads works” ekranındaki küçük gri bağlantı kişisel veri toplamanın kapsamını fark edilmeyecek kadar geri planda bırakıyor
- App Store’daki Threads Privacy bölümünde Health data, Financial Info, Browsing History, Sensitive Info gibi uzun bir liste yer alıyor; Avrupa veri koruma yasalarına göre reklam hedefleme amacıyla kişisel veri işlemek için geçerli bir hukuki dayanak gerekiyor
- Meta, hassas veri toplama ve Instagram hesabı silmeyle bağlantıyı yeterince görünür kılmadığı için framing ve Roach Motel dark pattern tartışmalarını büyütüyor
- Apple, güçlü bir gizlilik imajı öne sürüyor; ancak “Ask App Not To Track” beklenildiği gibi çalışmayabiliyor ve reklamverenlerin IDFA yerine fingerprinting kullanabildiğini gösteren incelemeler ve araştırmalar bulunuyor
- App Store’un üst kısmına net bir gizlilik uyarısı ya da privacy score yerleştirmek, kullanıcıların indirme kararlarını ve geliştiricilerin veri pratiklerini değiştirecek bir baskı oluşturabilir
Threads onboarding’inde ortaya çıkan şeffaflık sorunu
- Threads, yeni bir uygulamaya duyulan ilgiden ve basit onboarding’den yararlanarak kullanıcıların kayıt akışını hızla geçmesini sağlıyor
- “How Threads works” ekranı sıradan bir onboarding gibi görünüyor, ancak gerçekte çalışma biçimi ve verilerle ilgili bilgiler küçük gri metinli bir bağlantının arkasına yerleştirildiği için okunması zorlaşıyor
- Buradaki asıl nokta, veri toplanıp toplanmamasından çok, davranış ne kadar daha müdahaleci ya da riskli ise bunun kullanıcıya o kadar açık biçimde bildirilmesi gerektiği
App Store gizlilik bölümündeki uzun veri toplama listesi
- App Store’daki Threads Privacy bölümünde şu veri türleri gösteriliyor
- Health data
- Financial Info
- Browsing History
- Sensitive Info
- Other Data
- Threads, müdahaleci izleme nedeniyle Avrupa’da yayımlanamamıştı ve Avrupa veri koruma yasalarına göre Meta’nın reklam hedefleme için kişisel veri işlemesinde geçerli bir hukuki dayanağa ihtiyacı var
- Son mahkeme kararlarının ardından Meta’nın gizlilik politikası etrafındaki belirsizlik de arttı
Framing ve düşük T.I. oranı
- Framing, bilginin sunuluş biçiminin kullanıcı kararlarını değiştirmesi olgusudur
- Aynı gerçekler gizlenecek ya da yanlış anlaşılacak şekilde yerleştirilirse bu etik dışı framing olur
- Threads’in “How Threads works” ekranı, veri toplamanın yoğunluğunu açıkça öne çıkarmak yerine bunu kayıt akışı içine gömüyor
- T.I. ratio, bir ürünün şeffaflığının (Transparency) kullanıcıya yönelik risk veya müdahalecilikle (Intrusiveness) orantılı olması gerektiğini söyleyen bir ölçüttür
- Çok hassas veriler isteniyorsa bunun açıkça öne çıkarılması uygundur
- Meta’nın akışı, müdahaleciliğe kıyasla şeffaflığın düşük kaldığı bir örnek olarak görülebilir
Instagram hesabı ve Roach Motel dark pattern’i
- Threads kayıt düğmesine bastıktan sonra Instagram hesabıyla bağlantı sorunu yeterince görünür biçimde ortaya konmuyor
- Threads’i silmeye çalışırken Instagram hesabının da silinmesi yapısı Instagram ransom olarak adlandırılıyor
- Roach Motel dark pattern’i, içine girmenin kolay ama çıkmanın zor olduğu kullanıcı yolculuklarını ifade eder
- Threads’in hesap silme akışı da düşük T.I. ratio içeren bir kullanıcı yolculuğuna karşılık geliyor
Apple’ın gizlilik imajı ve Privacy Washing
- Apple, reklam ve billboard’lara büyük bütçeler ayırarak kendisini bir Guardian of Privacy gibi gösteriyor
- Ancak App Store arkasında izin verilen veri toplama pratiklerine bakıldığında, Apple’ın gizlilik iddialarına beklenildiği kadar güvenmek zor
- Privacy Washing, gerçekte korumadığı hâlde gizliliği koruyormuş gibi yapma anlamına gelir
- “Ask App Not To Track” düğmesine bassanız bile bu özellik beklediğiniz şekilde çalışmayabilir
- Bunu destekleyen kaynaklardan biri Oxford University iOS App Tracking araştırmasıdır
- Reklamverenler, Apple’ın mevcut IDFA sistemi yerine verileri fingerprinting ile eşleyip reklamverenlere gönderebilir
- iPhone’daki izleme korumasının, Apple reklamlarının ima ettiği kadar güvenilir olmadığını öne süren incelemeler de bulunuyor
App Store’da neden daha doğrudan uyarılar gerekli
- Apple gizliliğe gerçekten önem veriyorsa, App Store listelemelerinin üst kısmına daha net bir gizlilik uyarısı yerleştirebilir
- Safari Browser zaten gizlilikle ilgili, kullanıcıların aşina olduğu bir gösterim kalıbı kullanıyor
- Privacy score’un öne çıkarılması, kullanıcıların kötü veri pratiklerine sahip uygulamaları indirme olasılığını azaltabilir
- Bu, geliştiriciler üzerinde kullanıcı gizliliğine daha fazla saygı göstermeleri yönünde baskı oluşturur
- Gizlilik gerçekten önemliyse Apple, App Store’da iyi pratiklere sahip uygulamaları daha üst sıralarda gösterebilir
1 yorum
Hacker News yorumları
Facebook'un bize aktif biçimde zarar vermesiyle, Apple'ın önerilen metrikleri ürünlerine koymayıp App Store'daki popüler uygulamalara pasif biçimde izin vermesini karşılaştırmak haksız görünüyor
Apple hayranı değilim ama Apple, Facebook değil
Apple'ın ana gelir kaynağı üst düzey donanım ve abonelik hizmetleri; Facebook ise mahremiyeti ve dikkati alıcılara satan bir şirket
Birkaç yıl önce uygulamaların açılması bir süre aşırı yavaşlamıştı; sebep Apple telemetri web servisi arızasıydı: https://forums.macrumors.com/threads/mac-apps-not-opening-or...
Bazıları onları kötü ya da daha az kötü diye adlandırıyor; ben ise Apple'a hem kötü hem de ikiyüzlü demek isterim
Apple, üçüncü taraf uygulama geliştiricilerine dayattığı IDFA şeffaflığı gerekliliklerinde kendisini muaf tutuyor ve Fransa ile AB gibi yerlerde hukuki soruşturmalara konu oldu: https://gizmodo.com/apple-iphone-analytics-tracking-even-whe...
Ayrıca Apple, kanunen zorunlu olmadığı hâlde iCloud yedeklerinde CSAM taraması yapıyor. Meta bunu WhatsApp'ta yapmadı, Signal ise zaten yapmaz. Bugün CSAM, yarın iktidarı eleştiren mesajlar olabilir. Apple, uçtan uca şifrelemede temel bir etik çizgiyi aştı ve artık şifreleme açısından tamamen güvenilmez
Apple'ın pazarlaması çok etkili, ancak mahremiyet konusunda diğer büyük teknoloji şirketlerinden daha iyi olduğu fikri biraz kurcalandığında içi boş bir pazarlama sloganından ibaret. Kimseye güvenilemez. Şu anda mahremiyeti gerçekten korumanın yolu, internete açık kaynak yazılım çalıştıran MiFi benzeri bir yönlendiriciyle bağlanmak ve Jordan Geoghegan'ın unbound-adblock'u gibi outbound firewall engelleme listeleri uygulamak gibi şeyler: https://geoghegan.ca//unbound-adblock.html
Uçtan uca şifreleme yapsa bile, bunun dışında toplayabileceği her şeyi topluyor
İnsanların ürpertici reklam şirketlerinden ne zaman bıkacağını merak ediyorum
Target'tan, bilgilerimi varsayılan olarak bağlı olmayan üçüncü taraflara satacaklarını ve reddetmek için telefon etmem ya da mektup göndermem gerektiğini söyleyen bir posta aldım. Bir noktada buna onay vermişimdir ve ücretsiz sadakat programına katılan birinin açıkça duymasa bile böyle şeyleri kabul ettiğini bilmesi gerekir; ama faydaların yanında müşterinin ödediği gerçek maliyetin de belirtilmesi gerekmez mi diye düşünüyorum
Geçen hafta CVS'te reçeteli ilaç alırken, ad ve adres doğrulaması ile ödeme ya da reçeteyi teslim alma imzası arasına pazarlama onayını sıkıştırmışlardı; bunun reçeteli ilaç satın alımıyla ilgili bir onay olmadığını fark etmeden aptalca onayladım. Büyük olasılıkla hasta olan ve ilacını alıp normale dönmek isteyen birinin karşısına, bilgilerini satmaya yönelik rızayı gizlice koymuşlar
Bunların hiçbiri hayatımı iyileştirmiyor. Ben bir şeye para ödeyip alışverişi bitirmek, sonra bir sonraki alışverişe kadar ilişkiyi kesmek istiyorum. Tüm reklamverenlerin satın aldığım her şeyi, hatta alışkanlık hâline gelmiş alışverişlerimi bile bilmesine gerek yok
Reklam teknolojisi sektöründe çalışıyorsan ya da daha fazla bilgi toplamak için kullanılan frontend düzeneklerinden sorumluysan, bundan gerçekten nefret ediyorum; bu son derece ürkütücü ve sen ürkütücü olmasan bile ürettiğin şeyler ve birlikte çalıştığın insanlar öyle. İnsanların doğal olarak özel saydığı kişisel bilgileri satmaya kandırmanın türlü yollarını bulmak iğrenç, ahlaksız ve aldatıcı. Müdahaleci reklam teknolojisini çökertmeye yardımcı olmak için yöntemleri, hileleri ve açıkları sızdırmalısınız
Bir aile üyesinin evine gittiğimde çıkan reklamlara bakarak, o kişinin daha önce gizli olan tıbbi durumunu tahmin edebilmiştim
Daha kötüsü, yapabileceğim bir şey olmadığı için bunun çaresiz bir öfke olması
Mümkün olduğunca fazla takibi zaten engelliyorum; bu uygulamaları kullanan şirketlere ya da bu şirketlerin hizmetlerini kullanan firmalara para vermemeye çalışıyorum; fiziksel mağazalarda nakit ödüyorum ve online alışverişten de olabildiğince kaçınıyorum
Yine de yeterli değil. Reklam şirketleri insanlarla savaş hâlinde ve kazanıyorlar
Kart istemiyorsan genellikle geçersiz ya da rastgele bir telefon numarasını da kabul ediyorlar. Elbette bu bir çözüm değil ve sorunun kendisini düzeltmek gerekiyor; ama en azından kısmi bir geçici çözüm oluyor
Reklam temelli sosyal uygulamaların muazzam miktarda veri topladığı doğru
Ancak Apple’ın gizlilik widget’ı listesi, insanlar her şeyi paylaşabildiği ve Meta gönderi içeriklerini reklam hedeflemede kullandığı için yalnızca kapsamlı bir liste gibi görünüyor
Yakın zamanda Apple’ın onboarding akışından geçip geçmediğinizi merak ediyorum. Apple ID oluşturup iPhone kurma süreci de epey benzer; bitmek bilmeyen veri kullanımına izin veren benzer tıklamalı şartlar var. Bunlara [1], [2], [3], [4], [5] dahil
Apple gizlilik pazarlamasını çok iyi yaptı, ama başka şirketleri eleştirirken işaret ettiği uygulamaların neredeyse hepsini kendisi de yapıyor
Ayrıca Threads’in Avrupa’da çıkmamış olması, ürünler arasındaki DMA veri ayrıştırma gereklilikleri yüzünden. Burada ima edildiği gibi toplanan verinin istilacı niteliğinin kendisiyle ilgili değil [6]
[1] https://www.apple.com/legal/privacy/pdfs/apple-privacy-polic...
[2] https://www.apple.com/legal/privacy/data/en/apple-id/
[3] https://www.apple.com/legal/sla/docs/iOS16_iPadOS16.pdf
[4] https://www.apple.com/legal/internet-services/itunes/
[5] https://www.apple.com/legal/internet-services/icloud/
[6] https://www.theverge.com/23789754/threads-meta-twitter-eu-dm...
Gizlilikten bahseden bir blog yazısı ama vercel-insights.com, www.google.com, ‘Sign up with Google’, “Microsoft, Amazon, facebook, Google, Disney gibi şirketlerden 132.793 kişi katıldı” görünüyor
“Yine o tuhaf his”
Bu yazı Meta’nın gizlilik ihlallerini Apple’ın suçuymuş gibi birbirine karıştırıyor gibi görünüyor
İşletim sistemi parmak iziyle takibi her zaman daha zor hale getirebilir ve App Store da daha fazla “gizlilik uyarısı” ekleyebilir. Ama sonuçta gizliliği ihlal eden üçüncü taraf bir uygulama kullanırsanız, o uygulama her zaman verileri türlü yollarla emer. Bunu Apple’ın gizliliği umursamadığına kanıt olarak kullanmak dürüstçe değil
Yani Meta’nın her şeyi emmesi yerine Google her şeyi elektrikli süpürge gibi içine çeker, bunun da daha fazlası Meta’ya akar
Bugünkü yazılım modeli bunu kolaylaştırmıyor olabilir, ama Apple’ı suçlamak yeterince dürüst ve anlaşılır
Bilgisayarları mutlaka veri sızdıran, kontrol edilemez makineler olarak görmeyi bırakmalıyız. Bilgisayarları insanlar yaptı
Eğlenceli küçük bir sunumdu; çok yeni bir şey yoktu ama uygulamanın güven düzeyini rozetlerle gösterme fikri fena değildi
Ama son sayfadaki e-posta listesinde “Sign up with Google” çıkınca tüm güvenilirlik uçup gitti. Komik
Gizlilik garantisi istiyorsanız internete bağlı hiçbir şeyi kurmamalı ya da kullanmamalısınız
HN bile, üslup analizi ve istekli bir aktör varsa buradaki kullanıcı adlarını başka herkese açık yazılarla kolayca ilişkilendirebilir. Daha da istekli bir aktör, özel olarak yazılmış yazılarla bile ilişkilendirebilir. Çünkü bu kadar çok veri sızıntısı var
Güvenlik için çevrimdışı kalmalısınız. Elbette modern çağda bu birçok kişi için gerçekçi değil. O zaman soru artık ne kadar ya da ne toplandığından bağımsız olarak, hangi şirketin beni herhangi bir şekilde satma ihtimalinin en düşük olduğu oluyor. Neredeyse her ölçüte göre Apple bu listenin üst sıralarında. Ama en üstte değil. Mullvad gibi şirketler, hiç veri toplamadan hizmet sunuyor; teoride nakit öderseniz bunun size geri dönmesinin bir yolu da yok
Kişisel olarak, veri toplanıp toplanmadığından çok, işlem yaptığım kuruluşa güvenip güvenemeyeceğim daha önemli. Büyük teknoloji şirketleri arasında geçmiş performansına bakınca en çok Apple’a güveniyorum, ama Apple ürünleri kullanırken mutlak gizlilik yaşadığım gibi bir yanılsamam yok; kimsenin de olmamalı
Gerçekçi biçimde ikna edici kanıt görmek isterim. Özellikle karakter sınırları veya platforma özgü kullanım kalıplarındaki farklılıklar engel olabileceğinden
Apple’ın daha iyi yaptığı tek şey PR
https://www.nytimes.com/2021/05/17/technology/apple-china-ce...
Otomasyon da zor değil
Yıllardır gördüğüm en kötü kullanıcı deneyimi
Bir sonraki bölüme geçmek istediğimi anlayacak kadarsan, bunu nasıl istemem gerektiğini pasif-agresif biçimde söylemek yerine doğrudan sonraki bölüme geçebilirsin
Ayrıntıları ve hâlâ böyle olup olmadığını kontrol etmek için Minecraft Legends’ı yeniden çalıştırdım. Biraz değişmiş ama başlangıç ekranında hâlâ “Başlamak için [sol fare düğmesi] tuşuna basın” çıkıyor; Space’e basınca da “Başlamak için [enter tuşu görseli] tuşuna basın”a dönüşüyor. Bu yüzden asıl demek istediğimin hâlâ geçerli olduğunu düşünüyorum
Ayrıca video başladığında Esc’e basınca benzer şekilde “Devam etmek için ␣ tuşuna basın” ipucu çıkıyor. Ne istediğimi sandın ki, diye düşündürüyor
RevealJS(https://revealjs.com/) kullanıyor gibi görünüyor. Başta bunu alternatif bir kullanıcı deneyimi olan bir “yazı” sandım ama aslında sadece bir slayt gösterisine daha yakın
Mobilde de (Firefox, Android) denedim; bu format kesinlikle pek uymuyor. Yatay moda çevirince masaüstü sitesini olduğu gibi küçültüp sığdırıyor. Masaüstünde okunmasını önermeleri ya da ayrı bir mobil sürüm sunmaları gerekir gibi
O noktada ilgili yazıdaki ifadeyle “eleştirel yok sayma”yı uyguladım
Bu çizgi romanın bu kadar özensiz olması şaşırtıcı
Yapması eğlenceli olmuş olabilir ama propaganda yapmak yerine bilgi aktarsaydı iyi olurdu
Basit bir çözüm var
“Unutulma hakkı”nı “hatırlanma izni”ne çeviren bir oylama önerisi hazırlayın; bu iznin de 1–3 yılda bir yenilenmesi gereksin. Şirket 3 yıl içinde izin alamazsa verileri silmek zorunda olsun. Bu izin devredilemez olmalı; yani Good Company, Inc.’de hesap açtıysanız ve Evil Corp, Inc. onu satın aldıysa, ikincisi yeni adıyla yeniden izin almak zorunda kalmalı. Veri brokerları da izin istemedikleri sürece bilgileri tutamamalı
“Satışa itiraz hakkı” ise varsayılan ret ve açık onaya dönüşmeli. Yani varsayılan durum ret olmalı; şirket verileri satmak istiyorsa açık izin almak zorunda kalmalı
Bu şirketler öneri sistemlerini çalıştırmak için büyük derin sinir ağı modelleri kullanıyor gibi görünüyor. En azından benim bildiğim kadarıyla bir sinir ağından yalnızca belirli bir kişiyi seçerek unutmasını isteyemezsiniz