2 puan yazan GN⁺ 2024-12-12 | 1 yorum | WhatsApp'ta paylaş
  • Web sitelerine izlenmek istemediğinizi bildiren Do Not Track (DNT) ayarı Firefox 135’ten itibaren kaldırılıyor; seçeneğin Nightly derlemelerinde şimdiden kaldırıldığı doğrulandı
  • DNT, kullanıcının tercihini bir HTTP başlığı ile bildirme yöntemi; ancak birçok site bu sinyale uymadığı için etkisi azaldı
  • Mozilla, DNT sinyalinin bazı durumlarda gizliliği azaltabileceğine karar verdi ve kaldırma işlemini Bugzilla kaydında ve destek belgelerinde doğruladı
  • Alternatif, Global Privacy Control (GPC) tabanlı “web sitelerine verilerimi satmamalarını veya paylaşmamalarını bildir” ayarı
  • DNT’yi daha önce etkinleştirmiş kullanıcıların Firefox 135’e yükselttiğinde ne olacağı henüz net değil; Chrome ve Microsoft Edge ise DNT ayarını sunmaya devam ediyor

Firefox 135’te DNT ayarı kaldırılıyor

  • Mozilla, Firefox’tan Do Not Track (DNT) ayarını kaldırdı
    • Geçerli sürüm Firefox 135 ve sonrası
    • Değişiklik Nightly derlemelerinde şimdiden görülebiliyor
  • Nightly’de “Website Privacy Preferences” bölümündeki “Send websites a ‘Do Not Track’ request” seçeneği kayboldu
  • Bugzilla’daki Remove DNT control from about:preferences#privacy kaydı da aynı değişikliği doğruluyor

DNT’nin sınırları ve GPC alternatifi

  • DNT, kullanıcının web sitelerine izlenmek istemediğini ileten bir tarayıcı ayarıdır
    • Etkinleştirildiğinde, kullanıcının izlenmeme tercihini gösteren özel bir HTTP başlığı web sitelerine gönderilir
    • DNT, 2009’da Christopher Soghoian ve Sid Stamm tarafından tanıtıldı; Firefox bu özelliği ilk uygulayan tarayıcıydı
  • Kaldırılmasının nedeni, birçok web sitesinin DNT sinyaline saygı göstermemesi ve bazı durumlarda gizliliğin azalabilmesidir
    • Firefox destek belgesi, Firefox 135’ten itibaren DNT onay kutusunun kaldırılacağını belirtiyor
    • Destek belgesinde, birçok sitenin bu gizlilik tercihi göstergesine saygı göstermediği ifade ediliyor
  • Firefox’un önerdiği alternatif Global Privacy Control
    • İlgili ayar “Tell websites not to sell or share my data”
    • Bu seçenek GPC üzerine inşa edilmiştir
    • GPC, giderek daha fazla site tarafından dikkate alınıyor ve bazı bölgelerde yasalarla uygulanıyor
  • DNT’yi daha önce etkinleştirmiş kullanıcıların etkilenen Firefox sürümüne yükselttiğinde ne olacağı henüz belirsiz
    • “Firefox no longer supports Do Not Track” mesajı gösterilebilir
    • Ya da sinyalin web sitelerine gönderilmeye devam etme ihtimali de var
  • Google Chrome ve Microsoft Edge gibi diğer tarayıcılar hâlâ DNT ayarı sunuyor
    • Chrome: Settings > Privacy and Security > Send a “Do Not Track” request with your browsing traffic
    • Microsoft Edge: Settings > Privacy, Search, and Services > “Send Do Not Track requests” seçeneğini açın

1 yorum

 
GN⁺ 2024-12-12
Hacker News yorumları
  • Bu özellik Mozilla’da uygulanırken orada çalışıyordum
    Web sitelerinin destekleyip desteklememesi tamamen isteğe bağlıydı ve başlarda yalnızca birkaç site destekliyordu
    İçeride varsayılan olarak açık olması gerektiğini savunan çok kişi vardı; ama böyle yapılırsa kimsenin buna saygı göstermeyeceği yönünde bir argüman vardı. Ayarlara girip bizzat açan %0,1’i takip etmeyeceğini söyleyen hangi takip platformu olurdu ki?
    Sonunda Internet Explorer bunu varsayılan olarak açtı ve iyi basın tepkisi aldı; ama herkesin görmezden gelmesine yol açarak özelliğin kendisini öldürdü
    Genel olarak bu özelliğin kalkmasına seviniyorum. Gerçekte hiçbir şey yapmıyordu; hatta çok şey yapıyormuş gibi görünerek yalnızca sahte bir güvenlik hissi veriyordu diye düşünüyorum
    Yine de her sitenin çerez modalı tarayıcı düzeyine taşınsa iyi olurdu. Bunun hâlâ yapılmamış olmasının birçok nedeni vardır ama büyük nedenlerden biri muhtemelen G ile başlayıp Oogle ile bitiyordur

    • “Her sitenin çerez modalı tarayıcı düzeyine taşınsa iyi olurdu” dediğiniz şey dolaylı olarak zaten mümkün
      uBlock Origin ayarlarında Cookie Banners ve Annoyances filtrelerini açarsanız modallar arka planda sessizce kaldırılır ve gezinmeye devam edebilirsiniz. Hiç onay vermediğiniz için işlevsel olarak banner’da reddetmiş olmanızla aynı olmalı
      uBlock Origin’i desteklemeyen berbat tarayıcılarda, örneğin iOS’ta veya Android için Chrome’da Kill Sticky bookmarklet’i de benzer şekilde çalışır: https://www.smokingonabike.com/2024/01/20/take-back-your-web...
      Eski tarayıcıların kullanıcıyı önceleyip açılır pencere engelleme gibi şeyleri varsayılan olarak açtığı günleri özlüyorum
    • RFC 35140 “Do-Not-Stab”in kullanıcı aracısının bunu varsayılan olarak açmaması gerektiğini özellikle belirtmesinin nedeni tam da bu
      https://www.5snb.club/posts/2023/do-not-stab/
    • O dönemde büyük reklam teknolojisi şirketlerinden birinde çalışıyordum. DNT; reklam sektörü, gelirini buna dayandıran siteler, tarayıcı üreticileri ve gizlilik savunucuları arasında dikkatle müzakere edilmiş bir uzlaşmaydı
      Biz DNT’yi edge altyapımızda uygulamıştık ve dağıtıma da hazırdık
      Ancak Microsoft, Google ile savaşının ortasında ve aQuantive satın alımıyla ilerlettiği kendi reklam teknolojisi hedefleri 6 milyar dolarlık değer düşüklüğüyle sonuçlandıktan sonra, bunu varsayılan olarak açarak uzlaşmayı bozdu. Bu herkes için ölümcül darbe oldu
      Reklam sektörü DNT’nin opt-out sürümünü asla kabul etmezdi. Yalnızca ilgilenen küçük bir azınlık bunu elle açtığında işliyordu; ama o dönemin baskın web tarayıcısı tüm kullanıcılar adına seçim yapınca ayakta kalamazdı
      İnsanların takipten ve kişiselleştirilmiş reklamlardan neden hoşlanmadığını gayet iyi anlıyorum. Son 10 yılda daha istilacı hâle geldi; ama en azından o dönemde ticari web için gerekliydi
    • O biti açmak ironik biçimde tarayıcı parmak izini biraz daha belirgin hâle getiriyordu
    • DNT’nin yaratıcı bir çözüm olduğunu düşünüyorum
      Takibi durdurmanın tek yolu yasa veya düzenlemedir. Teknik çözümler bitmeyen bir silahlanma yarışıdır ve son kullanıcı için muhtemelen kaybedilecek bir savaşa yakındır
      DNT, tüketicinin takip edilmek istemediğini göstermesinin bir yoluydu ve şirketleri tüketicinin gizlilik konusundaki açık talebini görmezden gelen konuma sokuyordu
      Ne yazık ki kimse bu noktayı etkili biçimde kullanamadı
  • Mozilla’nın son dönemdeki hamlelerine dair olumsuz izlenimlerin çok olmasını anlıyorum. Ama burada, en kötü ihtimalle bile neredeyse kimsenin saygı göstermediği bir özelliği kaldırıyorlar
    Bu özellik bir onur sistemine dayanıyordu; İsviçre’deki onur sistemi bile rastgele denetimler yapar. Tarayıcının bu özelliği zorunlu kılmasının hiçbir yolu yoktu
    İronik olarak, özellikle açan gizlilik bilinci yüksek kişileri takip etmek için ek bir veri noktası olarak da kullanılıyordu

    • Medium bunu uzun süre destekledi; Matomo gibi araçlar da varsayılan olarak destekliyordu
      Firefox bunun alternatifi olan Global Privacy Control’ü uyguladı, ancak tamamen aynı sorun var ve GPC’ye saygı gösteren web sitesi daha da az
      Bugünün web sitelerinde normalleşmiş siber takip uygulamalarına gerçek bir çözüm değil; ama tamamen işe yaramaz da denemez
    • Tartışma ve sistemin kendisi baştan kurgulanmıştı. Adil olsaydı şöyle yapılmalıydı
      1. Kullanıcının varsayılan olarak takip edilmek istemediği varsayılmalı, Do Not Track kapatılabilen bir seçenek yapılmalıydı
      2. Birkaç yıl işletildikten sonra, kimsenin saygı göstermediği tartışması kademeli olarak büyütülmeliydi
        Böyle olsaydı haber değeri taşırdı ve en azından AB’de düzenlemeyle zorunlu tutulacak bir konu olarak değerlendirilebilirdi
        Ama gerçekte Do Not Track’in başarılı olma şansı yoktu; bunun kasıtlı olduğunu düşünüyorum
    • Katılıyorum. Pazar payı yuvarlama hatası gibi görünen bir tarayıcının kullandığı gönüllü bir kuraldan ibaret
      Birisi çevrimiçi gizliliğini yalnızca buna dayandırdıysa eğitime ihtiyacı var
      Bu açıdan bakınca kaldırılması, bazı insanların tarayıcılarında daha güçlü korumalar uygulamasına yol açarak, çok küçük de olsa genel olarak gizliliğe yardımcı olabilir
    • Görmezden gelinmesinden ziyade, parmak izi kapsamını daraltmanın bir yolunu daha eklemesi daha önemli
  • Artık kaldırmanın zamanı gelmişti. Gizlilik koruması açısından anlamlı bir başarı sağlamadı; aksine kullanıcıyı benzersiz biçimde tanımlamak ve takibi iyileştirmek için bir sinyal daha sunarak ters etki yarattı
    Ancak takip engelleme genel olarak temelde kaybedilen bir savaşa yakın. Nedenini görmek için https://amiunique.org/ adresine bakabilirsiniz
    Firefox’ta mümkün olan tüm korumaları, “strict” takip engelleme modunu ve uBlock Origin’i kullanıyorum ama birinci taraf takibinden kaçmak mümkün değil
    Çarpıcı bir örnek olarak, günümüzde tarayıcılar cihazın CPU çekirdeği sayısını web sitelerine açığa çıkarabiliyor. Sırf bununla kullanıcıların %80–90’ı elenebilir; kullanıcı aracısı, IP ve dille birleştirildiğinde neredeyse benzersiz biçimde tanımlanır
    https://developer.mozilla.org/en-US/docs/Web/API/Navigator/h...

    • Varsayılan olarak, tüm kullanıcılarda aynı görünecek kadar yeterince temel bir JavaScript ortamı sunulsa iyi olurdu
      İdeal olarak tüm tarayıcılarda, en azından Firefox’ta, bir site takibi mümkün kılabilecek gelişmiş özellikleri kullanmaya çalıştığında adres çubuğunda bir simge belirse ve duruma göre izin verilebilse iyi olurdu
      Yani NoScript değil, Low script
    • Amaç benzersiz görünmemek olmamalı. Sizi ele verecek çok fazla küçük unsur var
      Bugün tüm unsurları bir şekilde ele alsanız bile bir sonraki tarayıcı güncellemesi yeni bir sinyali etkinleştirebilir; ayrıca amiunique.org’un tüm tanımlama veri noktalarını gördüğüne de güvenemezsiniz. Sonuçta kaybedilmesi kaçınılmaz bir silahlanma yarışı
      İstenen şey, ziyaret ettiğiniz her site için farklı biçimde benzersiz bir durumda olmaktır. JavaScript varsayılan olarak kapalı olup sitenin tarayıcının açığa çıkardığı veri noktalarının %90’ını en baştan toplayamaması daha da iyi olur
      En güçlü koruma muhtemelen VPN ile IP adresini değiştirmek, kullanıcı aracısını ve diğer ipuçlarını rastgeleleştirmek olur
    • Birbirine dik iki sorun var. Esas olarak bahsedilen şey, takip edilmek istemeyen birinin takip edilmesini pratikte zorlaştırma ihtiyacı
      Aynı anda yapılması gereken şey ise bunu yasadışı hale getirmek
      DNT, hukuki dayanak olmadan ikincisini başarmaya çalışan “aceleye getirilmiş” bir girişim gibi hissettiriyor
    • Tarayıcının cihazın CPU çekirdeği sayısını web sitelerine açığa çıkardığı bilgisi, navigator.hardwareConcurrency ortaya çıkmadan önce de öğrenilebiliyordu
      Bu bilgiyi çıkarsayan bir zamanlama saldırısı polyfill’i yayımladım ve başlangıçta onun yerine navigator.hardwareConcurrency API’si önerildi
      Bu API’nin temel kullanışlılığına ek olarak tarayıcı üreticileri, web sitelerinin bu değeri öğrenmek için kullanıcının cihazını benchmark etmesine gerek kalmayacağı için pil ömründen tasarruf edilebileceğini düşündü
  • Bu özelliğin kaldırılması kullanıcı özerkliğine zarar veriyor. Firefox kullanıcıları daha can sıkıcı onay istemleriyle uğraşmak zorunda kalacak
    Transcend Consent Management’ın varsayılan ayarı, DNT açıksa kullanıcıyı tüm zorunlu olmayan takip amaçlarının dışında tutuyor ve otomatik onay istemini de bastırıyor; ancak yalnızca GPC açıksa sadece “bilgi satışı/paylaşımı”nı reddediyor
    Bu merkezi gizlilik sinyali kaldırılırsa bazı kullanıcılar can sıkıcı banner’larla etkileşime girmeden Transcend Consent Management’a varsayılan olarak tam ret ifade edemeyecek
    Bu değişikliğin web topluluğunun uygun değerlendirmesi ve geri bildirimi olmadan dayatıldığını düşünüyorum. Mozilla bunu o kadar hızlı ele aldı ki sorun kapanmadan önce çok az kişi fark etti[1]. Daha da kötüsü, Bugzilla’yı, sorun kapandıktan sonra Mozilla çalışanı olmayanların ek yorum yazamayacağı şekilde yapılandırmışlar
    Chrome ekibi 2023’te DNT’nin kaldırılmasını önerdiğinde de benzer geri bildirim vermiştim[2]. Geri bildirimi dikkate aldılar; şu anda DNT Chrome’da kalmaya devam ediyor ve kaldırma süresiz olarak ertelenmiş durumda

    1. https://bugzilla.mozilla.org/show_bug.cgi?id=1928087
    2. https://issues.chromium.org/issues/41440843#comment12
    • Bir onay yönetimi aracının, üstelik muhtemelen çok yaygın olmayan bir aracın, bu bayrağı anlayıp kullanması özelliğin korunması gerektiğine dair güçlü bir gerekçe değil
      Reklamverenlere gönderilen ve kabul edilmesi umulan gönüllü bir bayrağa dayanmayan daha iyi gizlilik koruma yöntemleri var
    • Kullanıcı özerkliğine zarar vermiyor. Çünkü kimse buna saygı göstermiyor
      Özellikle gizlilik ve güvenlikte, etkinliği yanlış gösteren özellikler aksine zararlıdır
      Kimse Do Not Track’i açtığı için takip edilmeyeceğini hissetmemeli. Bu yanlış
      Bu yüzden kaldırılması doğru
  • GPC temelde DNT ile aynı, ancak [1]’e göre “GPC, DNT’yi birçok açıdan iyileştiriyor.”
    Hukuki dayanak: DNT’den farklı olarak GPC, CCPA gibi şirketlerin bu tür sinyallere uymasını gerektiren daha fazla yasanın desteğine sahip.
    Hedefin netleştirilmesi: DNT genel olarak izlemeyi ele alırken, GPC veri satışını veya paylaşımını durdurmaya odaklanıyor; bu yüzden günümüz gizlilik talepleriyle daha ilgili.
    Daha iyi benimsenme olasılığı: GPC; düzenleyicilerin, gizlilik savunucularının ve sektör liderlerinin görüşleriyle oluşturuldu, mevcut yasalarla uyum sağlamayı ve önceki işlevsel boşlukları gidermeyi amaçladı.
    Ama özünde neredeyse aynı.
    Bu yüzden “Firefox DNT’yi kaldırıyor” demekten çok, “Firefox GPC’nin erken dönem verimsiz sürümünü terk ediyor” demek daha doğru görünüyor.
    [1]: https://www.cookiebot.com/en/global-privacy-control/

    • GPC’nin CCPA gibi yasalarla desteklenmesi, varsayılan olarak kapalı olmasından mı? Sonuçta önceden belirlenmiş bir değeri taşıyan bir header olması bakımından aynı şey.
      Benim talebim izlenmemek. Satıştan önce gelen şey izleme. Satışın reddini değil, izlemenin reddini istiyorum.
      “İşlevsel boşluklar” deniyor ama GPC ile DNT arasındaki fark yalnızca DNT’nin DNT: 1, GPC’nin ise Sec-GPC: 1 göndermesi.
      DNT’ye uymayan şirketlerin GPC’ye uyacağı yok. Buradaki tek fark, IE’de GPC’nin varsayılan olarak açık olmaması, DNT’nin ise varsayılan olarak açık olması.
  • Doğru anladıysam DNT, yeni öneri olan “Global Privacy Control” için kullanımdan kaldırılıyor: https://w3c.github.io/gpc/
    Yani Firefox artık DNT: 1 header’ı yerine, DNT için kullanılan ayardan farklı bir ayar üzerinden isteğe bağlı olarak Sec-GPC: 1 gönderecek.
    Bunun neden faydalı bir değişiklik sayıldığını pek anlayamıyorum. Eskiden DNT header’ı varsa anonimleştirme kodunu etkinleştirecek şekilde uygulama yapmış bir web sitesi işletmecisi olarak, Sec-GPC’ye de bakacak kodu ekleyebilirim; ama bu bana değişiklik olsun diye değişiklik gibi geliyor.
    Aynı tarayıcı ayarı işaretliyse Mozilla’nın iki header’ı da göndermesi yeterli olurdu; web sitelerini ikisini de kontrol etmeye zorlamak da komik. Sec-GPC için DNT’den daha güçlü bir taahhüt istediklerini anlıyorum; ama ikincisi ilkinin bir alt kümesi olduğuna göre, istemci tarafındaki onay kutusu açıklamasını güncelleyip ikisini de göndermek yeterli olmaz mıydı?

  • “Do Not Track” sinyali, izlemeyi engellemekten çok ek bir parmak izi sinyali olarak daha kullanışlıydı.
    Umarım artık daha sağlam bir şey ilerletilebilir.

  • 2018’de kullanımdan kaldırılması planlandı, 2024’te kaldırıldı. Kendi amacının tam tersine kullanılan bir özellik için kimseyi şaşırtacak bir takvim değil.

  • Bence bırakılmalı ve AB’nin bunu yok saymayı hukuken kötüye kullanım haline getirmesi gerekirdi. O zaman lanet çerez banner’larına da gerek kalmazdı.

    • Yok saymak, açık rıza alınması gerektiği anlamına geliyor; web siteleri zaten bunu yapıyor.
  • Kullanım oranı o kadar düşüktü ki bu özellik insanları izlemek için kullanılıyordu.

    • Bariz çözüm, varsayılan olarak açık hale getirmek olurdu.