1 puan yazan GN⁺ 2024-11-26 | 1 yorum | WhatsApp'ta paylaş
  • Web sitelerinin kullanıcıları bıçaklayabildiği hicivsel bir kurguyla, Do-Not-Stab kullanıcıların bıçaklanmak istemediği yönündeki tercihini bir HTTP başlığıyla iletmesini sağlar
  • Başlık sözdizimi yalnızca Do-Not-Stab: 1 şeklindedir; başlık yoksa kullanıcının bıçaklanmak istediği yönünde bir tercih olarak ele alınır
  • Kullanıcı aracısı bu değeri varsayılan olarak açmamalıdır; varsayılan olarak ayarlanmış sinyaller için web servislerinin bunu yok sayıp kullanıcıyı bıçaklayabileceği kuralı konur
  • Microsoft, Do-Not-Stab desteğini yalnızca EEA içinde taahhüt etti; EEA dışında başlık ayarlansa bile bıçaklanabilirsiniz
  • Ticari çıkarlar, devlet talepleri, rıza işleme ve hissedar talepleri gibi istisnaların güvenlik kaygılarının önüne geçebileceğini göstererek şirketlerin kullanıcı seçimine saygı gösterme biçimini eleştirir

Do-Not-Stab başlığının kuralları

  • Do-Not-Stab, kullanıcıların web sitelerine bıçaklanma konusundaki tercihlerini bildirebilmesini sağlayan bir HTTP başlığıdır
  • Hicivsel arka plana göre son 50 yılda çevre birimlerindeki gelişmeler sayesinde web siteleri kullanıcıları bıçaklayabilir hale geldi ve Stabbings as a Service sektörü bile ortaya çıktı
  • Kötü niyetli aktörler kullanıcı tercihlerini yok sayabilir, ancak bıçaklamaların çoğunun kötü niyetli aktörler değil yasal şirketler tarafından gerçekleştirildiği varsayılır
  • Bu standart, kullanıcılara tüm bıçaklamaları kolayca reddetmenin bir yolunu sunar; ancak yasanın gerektirdiği bıçaklamalar ile şirketin her hâlükârda yapmak istediği bıçaklamaları istisna olarak bırakır
  • Sözdizimi yalnızca bir tanedir
    • Do-Not-Stab: 1
    • Başlık yoksa kullanıcının bıçaklanmak istediği yönünde bir tercih olarak ele alınır
  • Kullanıcı aracıları bu başlığı varsayılan tercih olarak benimsememelidir
    • Böyle ayarlanmışsa web servislerinin tercihi yok sayıp kullanıcıyı bıçaklaması önerilir
    • Gerekçe, kullanıcının bıçaklanmak isteyip istemediğine kullanıcı aracısının karar veremeyeceği, bunun kullanıcının açık seçimi olması gerektiğidir

Kapsam ve istisnalar

  • Microsoft, EEA yani European Economic Area içinde Do-Not-Stab başlığını destekleyeceğini taahhüt etti
  • EEA dışında destek hâlâ devam eden bir çalışma olduğundan, başlık ayarlansa bile kullanıcı bıçaklanabilir
  • Bir ülke EEA'dan ayrılırsa o ülkedeki kullanıcılar bıçaklanabilir
  • Do-Not-Stab istisnaları, ticari çıkar güvenlik kaygısından daha büyük olduğunda kabul edilir
    • Kullanıcının bıçaklanmaya rıza göstermiş olması buna dahildir; kullanıcı rızanın farkında olmasa bile durum aynıdır
    • Devletin talep ettiği bıçaklamalarda web sitesinin yasallığa itiraz etmemesi önerilir ve kullanıcının bunu hak etmiş olabileceği yazılır
    • Kullanıcının ölmemesi ihtimali olan bıçaklamalar
    • Hissedar istemişse
  • Editör yorumu, şirketlerin yapmamaları gerektiğini bildikleri şeyleri ancak açıkça yapmayın denirse durdurduğu durumu eleştirir
    • Microsoft'un EEA'da kullanıcı seçimine saygı göstermesinin nedeninin yalnızca orada zorunlu olması olduğunu belirtir
    • IE'de Do-Not-Track'i varsayılan değer olarak ayarlayıp herkesin IE'nin sinyalini yok saymasına yol açmasını da eleştirir
    • Windows'un EEA içindeki Digital Markets Act uyum değişikliklerinin önizlemesi bağlantısını da ekler
    • “We and our 756 partners process personal data” ifadesini örnek göstererek, 756 iş ortağıyla birlikte kişisel verileri işleyen reklam teknolojisi uygulamalarını sert biçimde eleştirir

1 yorum

 
GN⁺ 2024-11-26
Hacker News yorumları
  • Hiciv harika, ama asıl mesele kişisel özerkliği koruma yükünün kurumlardan ve düzenleyicilerden bireysel kullanıcılara kaydığı daha büyük toplumsal değişimi aynen yansıtması
    İster Do-Not-Stab ister Do-Not-Track olsun, finansal baskılar karşısında herhangi bir gönüllü uyum biçiminin en baştan işlemesinin zor olduğunu düşünüyorum
    Artık bu tür sorunlara yeniden mücadeleci bir tavırla karşı koymayı normalleştirmeli, kendi bilgisayarını istediğin gibi kullanma özgürlüğünü saldırgan ve çatışmacı biçimde savunmalıyız

    • HN’de Firefox konusu açılınca genelde mükemmel çözüm yanılgısı yağar; böyle bir mesajın çok oy alması ilginç
      Yazılım sektörü Chrome’un reklam yazılımı olduğunu bildiği hâlde onu kendisinin ve akrabalarının bilgisayarlarına kurarak kırmızı halı serdi; alternatifine geçmenin maliyeti son derece düşük olmasına rağmen geçmedi. Buna bakınca insanların bu konuda mücadeleci davranacağından şüpheliyim
    • Doğru. Bir milenyum kuşağı mensubu olarak sivil itaatsizliğin olduğu zamanların daha iyi olduğunu hissediyorum
      Sadece tüketiciler için daha iyi bir internet elde etmedik; daha iyi şirketler de ödüllendirildi ve kazandı. Nostalji yanılgısı olabilir, ama itaatsizliğin gerekli olmasının bir başka nedeni de karşı tarafın bunu para için yapması
      Somut olarak çerezler konusunda Adblock gibi bir şey yapabilir miyiz? Engellemektense kirletilmiş veri daha etkili olabilir gibi geliyor. Veri istiyorlarsa veri verelim. Rıza olmadan talep ediyorlarsa kirletilmiş veri yalnızca kötü niyetli uyumdur
      DNT’nin bir uzantısı olarak “DNT başlığından sonra rıza istenirse kullanıcı aracısı rastgele sentetik veri üretebilir” gibi standartlaştırılabilir
    • Çok kesin konuşmak gerekirse, o değişimi yansıttığı için harika bir hiciv. Asıl kaynak olan A Modest Proposal’dan çok etkilenmiş
    • Bilgisayarı istediğin gibi kullanma özgürlüğünü saldırgan ve çatışmacı biçimde savunmaya çalışsan da ne yazık ki bu hep bir yıpratma savaşına dönüşüyor
      Şirketler, kullanıcı direncinin maliyetini zaman ve sinir bozuculuk açısından artırırlarsa uzun vadede kazanabileceklerini biliyor gibi. Tarayıcıdan App Store’a, oradan her tür SaaS’a uzanan platformların tarihi ve yönü trajik; her aşamada kullanıcı denetimi azalmaya devam etti
      Şimdi büyük soru, yapay zekanın şirket merkezli mi olacağı yoksa demokratikleşip demokratikleşmeyeceği ve bunun ne ölçüde olacağı; iyimser olmak zor bence
      Ya da 60 yıl daha Do-Not-Stab’e tıklamak istemiyorsan çoban gibi bir şey olabilirsin. 10 yıl kadar iyi işler, ama sonunda araba, bulaşık makinesi, ışık anahtarı kullanmak için Do-Not-Stab’e tıklaman gereken an gelir ve o zaman şirket kazanır
      Sonunda “Bıçaklamadan önce sordukları için bile minnettar olmalıyım, aslında ben borçluyum” demeye başlar, ünlü bir çoban influencer olduktan sonra yağacak sevgi ve parayı beklersin. Beğenmeyi ve abone olmayı unutmayın; her zamanki gibi yaşasın şirketler
    • Buna başlamak için en iyi zaman 19 gün önceydi, ama artık buradayız. Emniyet kemerini takmak gerek
  • Do-Not-Stab başlığının bir tarayıcı motoru tarafından varsayılan olarak açıldığı ve kullanıcının bıçaklanmaya açıkça rıza göstermesini gerektiren yapının bıçaklama endüstrisinin gelirine zarar verdiği için terk edildiği önemli
    Neyse ki biri standart dışı bir alternatif olan General Assault Control’ü yaptı; bunun da yalnızca tek bir değeri var, bu yüzden Sec-GAC’yi 1’e ayarlayıp web sitelerinden saldırmamalarını isteyebiliyorsunuz
    Tasarım gereği bu başlık genişletilemiyor; bu yüzden gelecekte vahşi bıçaklamayla yüze pasta fırlatma komedisini ayırt etmek için kullanılamayacak
    Yasal gereklilikler nedeniyle General Assault Control başlığı varsayılan olarak açılamıyor. Çünkü Colorado gibi ABD eyaletleri açık rıza değil, açık ret istiyor
    Bu da kullanıcıların çoğu bıçaklanmak istemeyeceği için Colorado’nun gelişen bıçaklama ve silahlı saldırı endüstrisini koruyor
    Bu özellik varsayılan olarak kapalı olmalı, ancak spesifikasyonu hazırlayan kuruluş müşterilerini bu özelliği uygulayan kıyı köşe bir tarayıcıyı indirmeye güçlü biçimde yönlendiriyor. Yine de açmak için about:config gerekebilir
    Kullanıcı tabanı küçük olduğu için, standarda uymayan web siteleri saldırmama talebinin kendisini bıçaklama ve silahlı saldırıları daha hassas hâle getirmek için kullanabilir
    Son kullanıcı web sunucusundan GAC başlığı desteği durumunu içeren bir JSON dosyası isteyebilir, ancak uyumsuz sunucular bu URL isteğini kullanıcının dişlerine tekme atmak için de kullanabilir

    • Artık Avrupa düzenlemelerine uymak için, web sitesi kullanılmadan önce kullanıcının reddedebileceği kişisel hedefli şiddet suçları listesini göstermek yerleşik uygulama hâline geldi
      Böylece bıçaklanmaya rıza göstermemek her zaman aktif bir seçim oluyor ve bıçaklanmak ya da sakat bırakılmak isteyen kullanıcıların bu fırsatı yanlışlıkla kaçırmaması sağlanıyor
    • Neden ikili değer olmalı? Mazoşistler ya da bir bahsi kaybedip sadece biraz bıçaklanmak isteyenler, ya da boğulmak isteyenler ne olacak?
  • Bu, fazlasıyla bariz bir AB bürokrasisi tarafgirliği. Bıçaklamaya elverişsiz iş ortamı yüzünden Avrupa’da büyük SaaS şirketi olmaması da şaşırtıcı değil

    • Doğru, AB neden stabtech endüstrisinin huzur içinde bıçaklamasına izin veremiyor ki
    • Bence olgusal olarak yanlış. Skype, Spotify, Revolut, Zendesk, Transferwise gibi şirketler var ve SaaS olarak faaliyet gösteren epey Avrupa unicorn’u da bulunuyor
      ABD ve Çin şirketlerinden daha azlar, ama bazıları satın alındı ya da merkezlerini başka ülkelere taşıdı
  • 1.000 tıklama başına 20 dolar gibi uygun bir fiyatla, yakında çıkacak AB ve California web tabanlı bıçaklama düzenlemeleriyle tamamen uyumlu bıçaklama rıza banner’ı sunacağım

    • Satın alırım. “Zorunlu”, “hedefleme”, “performans” ve “işlevsel” bıçaklamalar arasındaki ayrım gerçekten mayın tarlası
      Üstelik birlikte çalıştığım 846 bıçaklama broker’ını nasıl düzgün açıklayacağımı da bilemiyorum. Bürokrasi böyle engel olurken insan bıçaklayarak nasıl geçinsin?
    • Bu arada araştırmalara göre rakip banner’larda kullanıcılar bıçaklamaya yalnızca %95 oranında rıza gösteriyor; bizim banner’da ise düzgün reddetmek %50 daha uzun sürdüğü için %98 rıza oranı görüyoruz. O yüzden bizimkini kullanmak en doğrusu
  • Bu web sitesi MtF trans bireyler, furry’ler, kendini robot olarak tanımlayanlar ve bunların birleşiminden oluşan bir webringin parçası gibi görünüyor. Bazıları yalnızca üçüncü şahıs zamirleri de kullanıyor
    Hepsi bir şekilde sistem yöneticisi ya da programcı gibi görünüyor
    Benim kabilem değil, ama bu webring içinde eski internetin güzel bir yansımasını görmek beni çok mutlu etti

  • Do Not Track üstbilgisi ilk olarak 2009’da araştırmacılar Christopher Soghoian ve Sid Stamm tarafından önerildi; Mozilla Firefox bu özelliği uygulayan ilk tarayıcıydı
    https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...

    • Gerçekte kaç web geliştiricisinin Do Not Track’e saygı gösterdiğini merak ediyorum
      Yaptığım tüm sitelerde, işverenlerim için yaptığım sitelerde de buna uyuyorum. Gerçi bunun işverenin haberi olmadığı için mümkün olduğunu sanıyorum
      Do-Not-Track açıkken geziniliyorsa çerez onay banner’ını da atlatacak, oturum ve giriş çerezleri gibi kesinlikle gerekli olanlar dışında hiçbir şey istenmediğini varsayacak şekilde yaptım
      Google Analytics de eklemiyorum; kişisel olarak tanımlanabilir bilgi olmadan yalnızca sayfanın tekil görüntülenme sayacını artırıyorum
    • 2002’de W3C’nin önerdiği P3P adlı çok daha ayrıntılı bir standart vardı. Görünüşe göre şirketlerin kişisel verileri nasıl kullanabileceğini açıklayan bir biçim tanımlıyordu
      Ama sanırım fazla karmaşık ve “yaptırım gücü yetersiz” görülüyordu
      GDPR’ye kadar hayatta kalabilseydi belki yaptırım gücü kazanabilirdi, ancak Mozilla ondan önce desteği kaldırdı
  • “Çünkü tüm şirketler kullanıcılardan gerçekten nefret ediyor” demek tam doğru değil
    Aslında kullanıcılardan nefret etmelerinden ziyade, kullanıcının parasını seviyorlar ve kullanıcının kendisine yozlaşmış bir kayıtsızlık gösteriyorlar

    • Kullanıcılardan nefret etmiyorlar, ama onları yemeye çalışıyorlar: https://www.lesswrong.com/posts/ENBzEkoyvdakz4w5d/out-to-get...
    • Hayır, onlar kullanıcılar hakkında kazanabilecekleri parayı seviyor. Tanıdığım insanlar arasında bunlara doğrudan para veren kimse yok
      Verileri toplayan şüpheli şirketlerin, kullanıcılar hakkındaki verileri başka şüpheli şirketlere sattığı bir yapı bu. Üstelik tüm bunlar kullanıcıya ücretsiz sunuluyor
    • Bu skeçin ikinci yarısı aklıma geliyor: https://www.youtube.com/watch?v=uQjUh4nWwaM
    • Kapitalizmin insanlara zararlı olduğunu daha yeni keşfetmiş gibisiniz. Kim bilebilirdi ki
  • Sakin olalım. Kuruluşların önünde yeterince başka seçenek var. Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone desteği hâlâ olmayacağı için bütün aile keyif alabilir

    • robots.txt’yi de unutmamak gerek
  • RFC, request for comment ise hep merak ettiğim bir şey var. Yorum nasıl bırakılıyor ve kim bırakıyor?

    • Üniversitedeki ağ dersinde duyduğum bir anekdota göre, RFC adı biraz şaka yollu verilmişti ve bir teklif RFC aşamasına geldiğinde yorumların pek hoş karşılanmadığı anlamına geliyordu
      Görüşlerin çok daha önce verilmesi gerektiği söyleniyordu
      Bu anekdotun doğru olup olmadığını bilmiyorum, ama RFC’nin genellikle ilgili standart hakkında nihai hüküm gibi işlediği doğru
      Nitekim bir RFC, ID aldıktan sonra değiştirilemez veya geri çekilemez; yalnızca başka bir RFC ile yerini yenisine bırakabilir
    • İlk RFC’ler gerçekten de fikirler ve öneriler hakkında yorum talebiydi; amaç standartların veya en iyi uygulamaların arşiv kaydını oluşturmak değil, sohbet başlatmaktı
      Zamanla yayın süreci daha resmî hale gelip materyali tüketen topluluk büyüdükçe amaç değişti
      Bugün en iyi uygulama kılavuzları, deneysel protokoller, bilgilendirici materyaller ve elbette internet standartları dahil 8.500’den fazla RFC yayımlandı
      https://www.rfc-editor.org/rfc/rfc8700.html
      Günümüzde görüşleri “internet standardı” aşamasına ulaşmadan önce iletmek gerekiyor
    • RFC’ler IETF altında yürütülür. RFC belirli bir grupta geliştirilir; o gruba katılabilirsiniz ve işler genellikle e-posta ile yürür
      Benim katıldığım dönemde yüz yüze toplantılar da vardı ama katılım zorunlu değildi
    • Başka bir yorum da “request for compliance”, yani uyum talebi şeklindedir
    • Errata gönderebilirsiniz. Belki adını RFE olarak değiştirmek gerekir
  • Bu üstbilgi de sonunda zaten bıçaklayacak şirketlerin kullandığı bir entropi parçası daha olmayacak mı?

    • Hukuki dayanak yoksa evet. O olsaydı hikâye tamamen farklı olurdu
    • Üstbilginin kötüye kullanımını yasa dışı hale getirirseniz, kullanıcıları yalnızca yasa dışı olanlar bıçaklar