RFC 35140: HTTP Do-Not-Stab (2023) politikası
(5snb.club)- Web sitelerinin kullanıcıları bıçaklayabildiği hicivsel bir kurguyla,
Do-Not-Stabkullanıcıların bıçaklanmak istemediği yönündeki tercihini bir HTTP başlığıyla iletmesini sağlar - Başlık sözdizimi yalnızca
Do-Not-Stab: 1şeklindedir; başlık yoksa kullanıcının bıçaklanmak istediği yönünde bir tercih olarak ele alınır - Kullanıcı aracısı bu değeri varsayılan olarak açmamalıdır; varsayılan olarak ayarlanmış sinyaller için web servislerinin bunu yok sayıp kullanıcıyı bıçaklayabileceği kuralı konur
- Microsoft,
Do-Not-Stabdesteğini yalnızca EEA içinde taahhüt etti; EEA dışında başlık ayarlansa bile bıçaklanabilirsiniz - Ticari çıkarlar, devlet talepleri, rıza işleme ve hissedar talepleri gibi istisnaların güvenlik kaygılarının önüne geçebileceğini göstererek şirketlerin kullanıcı seçimine saygı gösterme biçimini eleştirir
Do-Not-Stab başlığının kuralları
Do-Not-Stab, kullanıcıların web sitelerine bıçaklanma konusundaki tercihlerini bildirebilmesini sağlayan bir HTTP başlığıdır- Hicivsel arka plana göre son 50 yılda çevre birimlerindeki gelişmeler sayesinde web siteleri kullanıcıları bıçaklayabilir hale geldi ve Stabbings as a Service sektörü bile ortaya çıktı
- Kötü niyetli aktörler kullanıcı tercihlerini yok sayabilir, ancak bıçaklamaların çoğunun kötü niyetli aktörler değil yasal şirketler tarafından gerçekleştirildiği varsayılır
- Bu standart, kullanıcılara tüm bıçaklamaları kolayca reddetmenin bir yolunu sunar; ancak yasanın gerektirdiği bıçaklamalar ile şirketin her hâlükârda yapmak istediği bıçaklamaları istisna olarak bırakır
- Sözdizimi yalnızca bir tanedir
Do-Not-Stab: 1- Başlık yoksa kullanıcının bıçaklanmak istediği yönünde bir tercih olarak ele alınır
- Kullanıcı aracıları bu başlığı varsayılan tercih olarak benimsememelidir
- Böyle ayarlanmışsa web servislerinin tercihi yok sayıp kullanıcıyı bıçaklaması önerilir
- Gerekçe, kullanıcının bıçaklanmak isteyip istemediğine kullanıcı aracısının karar veremeyeceği, bunun kullanıcının açık seçimi olması gerektiğidir
Kapsam ve istisnalar
- Microsoft, EEA yani European Economic Area içinde
Do-Not-Stabbaşlığını destekleyeceğini taahhüt etti - EEA dışında destek hâlâ devam eden bir çalışma olduğundan, başlık ayarlansa bile kullanıcı bıçaklanabilir
- Bir ülke EEA'dan ayrılırsa o ülkedeki kullanıcılar bıçaklanabilir
Do-Not-Stabistisnaları, ticari çıkar güvenlik kaygısından daha büyük olduğunda kabul edilir- Kullanıcının bıçaklanmaya rıza göstermiş olması buna dahildir; kullanıcı rızanın farkında olmasa bile durum aynıdır
- Devletin talep ettiği bıçaklamalarda web sitesinin yasallığa itiraz etmemesi önerilir ve kullanıcının bunu hak etmiş olabileceği yazılır
- Kullanıcının ölmemesi ihtimali olan bıçaklamalar
- Hissedar istemişse
- Editör yorumu, şirketlerin yapmamaları gerektiğini bildikleri şeyleri ancak açıkça yapmayın denirse durdurduğu durumu eleştirir
- Microsoft'un EEA'da kullanıcı seçimine saygı göstermesinin nedeninin yalnızca orada zorunlu olması olduğunu belirtir
- IE'de Do-Not-Track'i varsayılan değer olarak ayarlayıp herkesin IE'nin sinyalini yok saymasına yol açmasını da eleştirir
- Windows'un EEA içindeki Digital Markets Act uyum değişikliklerinin önizlemesi bağlantısını da ekler
- “We and our 756 partners process personal data” ifadesini örnek göstererek, 756 iş ortağıyla birlikte kişisel verileri işleyen reklam teknolojisi uygulamalarını sert biçimde eleştirir
1 yorum
Hacker News yorumları
Hiciv harika, ama asıl mesele kişisel özerkliği koruma yükünün kurumlardan ve düzenleyicilerden bireysel kullanıcılara kaydığı daha büyük toplumsal değişimi aynen yansıtması
İster Do-Not-Stab ister Do-Not-Track olsun, finansal baskılar karşısında herhangi bir gönüllü uyum biçiminin en baştan işlemesinin zor olduğunu düşünüyorum
Artık bu tür sorunlara yeniden mücadeleci bir tavırla karşı koymayı normalleştirmeli, kendi bilgisayarını istediğin gibi kullanma özgürlüğünü saldırgan ve çatışmacı biçimde savunmalıyız
Yazılım sektörü Chrome’un reklam yazılımı olduğunu bildiği hâlde onu kendisinin ve akrabalarının bilgisayarlarına kurarak kırmızı halı serdi; alternatifine geçmenin maliyeti son derece düşük olmasına rağmen geçmedi. Buna bakınca insanların bu konuda mücadeleci davranacağından şüpheliyim
Sadece tüketiciler için daha iyi bir internet elde etmedik; daha iyi şirketler de ödüllendirildi ve kazandı. Nostalji yanılgısı olabilir, ama itaatsizliğin gerekli olmasının bir başka nedeni de karşı tarafın bunu para için yapması
Somut olarak çerezler konusunda Adblock gibi bir şey yapabilir miyiz? Engellemektense kirletilmiş veri daha etkili olabilir gibi geliyor. Veri istiyorlarsa veri verelim. Rıza olmadan talep ediyorlarsa kirletilmiş veri yalnızca kötü niyetli uyumdur
DNT’nin bir uzantısı olarak “DNT başlığından sonra rıza istenirse kullanıcı aracısı rastgele sentetik veri üretebilir” gibi standartlaştırılabilir
Şirketler, kullanıcı direncinin maliyetini zaman ve sinir bozuculuk açısından artırırlarsa uzun vadede kazanabileceklerini biliyor gibi. Tarayıcıdan App Store’a, oradan her tür SaaS’a uzanan platformların tarihi ve yönü trajik; her aşamada kullanıcı denetimi azalmaya devam etti
Şimdi büyük soru, yapay zekanın şirket merkezli mi olacağı yoksa demokratikleşip demokratikleşmeyeceği ve bunun ne ölçüde olacağı; iyimser olmak zor bence
Ya da 60 yıl daha Do-Not-Stab’e tıklamak istemiyorsan çoban gibi bir şey olabilirsin. 10 yıl kadar iyi işler, ama sonunda araba, bulaşık makinesi, ışık anahtarı kullanmak için Do-Not-Stab’e tıklaman gereken an gelir ve o zaman şirket kazanır
Sonunda “Bıçaklamadan önce sordukları için bile minnettar olmalıyım, aslında ben borçluyum” demeye başlar, ünlü bir çoban influencer olduktan sonra yağacak sevgi ve parayı beklersin. Beğenmeyi ve abone olmayı unutmayın; her zamanki gibi yaşasın şirketler
Do-Not-Stab başlığının bir tarayıcı motoru tarafından varsayılan olarak açıldığı ve kullanıcının bıçaklanmaya açıkça rıza göstermesini gerektiren yapının bıçaklama endüstrisinin gelirine zarar verdiği için terk edildiği önemli
Neyse ki biri standart dışı bir alternatif olan General Assault Control’ü yaptı; bunun da yalnızca tek bir değeri var, bu yüzden Sec-GAC’yi 1’e ayarlayıp web sitelerinden saldırmamalarını isteyebiliyorsunuz
Tasarım gereği bu başlık genişletilemiyor; bu yüzden gelecekte vahşi bıçaklamayla yüze pasta fırlatma komedisini ayırt etmek için kullanılamayacak
Yasal gereklilikler nedeniyle General Assault Control başlığı varsayılan olarak açılamıyor. Çünkü Colorado gibi ABD eyaletleri açık rıza değil, açık ret istiyor
Bu da kullanıcıların çoğu bıçaklanmak istemeyeceği için Colorado’nun gelişen bıçaklama ve silahlı saldırı endüstrisini koruyor
Bu özellik varsayılan olarak kapalı olmalı, ancak spesifikasyonu hazırlayan kuruluş müşterilerini bu özelliği uygulayan kıyı köşe bir tarayıcıyı indirmeye güçlü biçimde yönlendiriyor. Yine de açmak için about:config gerekebilir
Kullanıcı tabanı küçük olduğu için, standarda uymayan web siteleri saldırmama talebinin kendisini bıçaklama ve silahlı saldırıları daha hassas hâle getirmek için kullanabilir
Son kullanıcı web sunucusundan GAC başlığı desteği durumunu içeren bir JSON dosyası isteyebilir, ancak uyumsuz sunucular bu URL isteğini kullanıcının dişlerine tekme atmak için de kullanabilir
Böylece bıçaklanmaya rıza göstermemek her zaman aktif bir seçim oluyor ve bıçaklanmak ya da sakat bırakılmak isteyen kullanıcıların bu fırsatı yanlışlıkla kaçırmaması sağlanıyor
Bu, fazlasıyla bariz bir AB bürokrasisi tarafgirliği. Bıçaklamaya elverişsiz iş ortamı yüzünden Avrupa’da büyük SaaS şirketi olmaması da şaşırtıcı değil
ABD ve Çin şirketlerinden daha azlar, ama bazıları satın alındı ya da merkezlerini başka ülkelere taşıdı
1.000 tıklama başına 20 dolar gibi uygun bir fiyatla, yakında çıkacak AB ve California web tabanlı bıçaklama düzenlemeleriyle tamamen uyumlu bıçaklama rıza banner’ı sunacağım
Üstelik birlikte çalıştığım 846 bıçaklama broker’ını nasıl düzgün açıklayacağımı da bilemiyorum. Bürokrasi böyle engel olurken insan bıçaklayarak nasıl geçinsin?
Bu web sitesi MtF trans bireyler, furry’ler, kendini robot olarak tanımlayanlar ve bunların birleşiminden oluşan bir webringin parçası gibi görünüyor. Bazıları yalnızca üçüncü şahıs zamirleri de kullanıyor
Hepsi bir şekilde sistem yöneticisi ya da programcı gibi görünüyor
Benim kabilem değil, ama bu webring içinde eski internetin güzel bir yansımasını görmek beni çok mutlu etti
Do Not Track üstbilgisi ilk olarak 2009’da araştırmacılar Christopher Soghoian ve Sid Stamm tarafından önerildi; Mozilla Firefox bu özelliği uygulayan ilk tarayıcıydı
https://en.wikipedia.org/wiki/Do_Not_Track#:~:text=The%20Do%...
Yaptığım tüm sitelerde, işverenlerim için yaptığım sitelerde de buna uyuyorum. Gerçi bunun işverenin haberi olmadığı için mümkün olduğunu sanıyorum
Do-Not-Track açıkken geziniliyorsa çerez onay banner’ını da atlatacak, oturum ve giriş çerezleri gibi kesinlikle gerekli olanlar dışında hiçbir şey istenmediğini varsayacak şekilde yaptım
Google Analytics de eklemiyorum; kişisel olarak tanımlanabilir bilgi olmadan yalnızca sayfanın tekil görüntülenme sayacını artırıyorum
Ama sanırım fazla karmaşık ve “yaptırım gücü yetersiz” görülüyordu
GDPR’ye kadar hayatta kalabilseydi belki yaptırım gücü kazanabilirdi, ancak Mozilla ondan önce desteği kaldırdı
“Çünkü tüm şirketler kullanıcılardan gerçekten nefret ediyor” demek tam doğru değil
Aslında kullanıcılardan nefret etmelerinden ziyade, kullanıcının parasını seviyorlar ve kullanıcının kendisine yozlaşmış bir kayıtsızlık gösteriyorlar
Verileri toplayan şüpheli şirketlerin, kullanıcılar hakkındaki verileri başka şüpheli şirketlere sattığı bir yapı bu. Üstelik tüm bunlar kullanıcıya ücretsiz sunuluyor
Sakin olalım. Kuruluşların önünde yeterince başka seçenek var. Do-Not-Shoot, Do-Not-Rape, Do-Not-Stone desteği hâlâ olmayacağı için bütün aile keyif alabilir
RFC, request for comment ise hep merak ettiğim bir şey var. Yorum nasıl bırakılıyor ve kim bırakıyor?
Görüşlerin çok daha önce verilmesi gerektiği söyleniyordu
Bu anekdotun doğru olup olmadığını bilmiyorum, ama RFC’nin genellikle ilgili standart hakkında nihai hüküm gibi işlediği doğru
Nitekim bir RFC, ID aldıktan sonra değiştirilemez veya geri çekilemez; yalnızca başka bir RFC ile yerini yenisine bırakabilir
Zamanla yayın süreci daha resmî hale gelip materyali tüketen topluluk büyüdükçe amaç değişti
Bugün en iyi uygulama kılavuzları, deneysel protokoller, bilgilendirici materyaller ve elbette internet standartları dahil 8.500’den fazla RFC yayımlandı
https://www.rfc-editor.org/rfc/rfc8700.html
Günümüzde görüşleri “internet standardı” aşamasına ulaşmadan önce iletmek gerekiyor
Benim katıldığım dönemde yüz yüze toplantılar da vardı ama katılım zorunlu değildi
Bu üstbilgi de sonunda zaten bıçaklayacak şirketlerin kullandığı bir entropi parçası daha olmayacak mı?