Çocukları düşünün: Tüm internet trafiğinde Real ID’yi zorunlu kılmanın yolu (2023)

• Yetişkin doğrulaması bahanesiyle istenen kimlik kartı·belge yükleme talepleri merkezi ticari veritabanlarına dönüşürse, bunun yetişkin sitelerinin ötesine geçip internetin geneline yayılan gerçek kimlik takibine genişleyebileceği belirtiliyor
• Zaten ICRA PICS ve RTA Header gibi düşük sürtünmeli alternatifler vardı; RTA, web sayfasına ya da HTTP header’ına yalnızca tek satır ekleyerek tarayıcıların, arama motorlarının ve crawler’ların yetişkin içeriği olasılığını algılamasını sağlıyor
• Yazının senaryosunda eyalet düzeyindeki yasalaşmanın federal yasaya ve yurt dışına yayılmaya dönüştüğü, ardından takip çerçevesinin sosyal medya, finans, ticaret, mesajlaşma ve oyun platformlarına kadar genişlediği bir akış anlatılıyor
• Küresel uygulama aracı olarak Web Environment Integrity(WEI) imzası olmayan sayfaların engellenmesi ile kredi kartı, eyalet kimliği, TPM ve Secure Boot ile birleşme ihtimali gündeme getiriliyor
• Alternatif olarak site işletmecilerine 1 yıl içinde RTA header ekletilmesi, varsayılan tarayıcılar ve web istemcilerinin bunu okuyup ebeveyn denetimlerini etkinleştirmesi ve 2034 itibarıyla 13 yaş altındaki çocuklara uygulanması öneriliyor

Yetişkin doğrulama veritabanlarının yarattığı risk

• Bazı eyaletler ve bir ülke, yetişkin web sitelerine girişte yetişkin olduğunu kanıtlamak için eyalet kimliği ve belge yükleme isteyen merkezi ticari veritabanları uyguluyor
• Asıl kaygı, bu yaklaşımın yetişkin içeriğiyle sınırlı kalmayıp internet kullanımının geneline gerçek kimlik ve finansal bilgi bağlayan bir altyapıya dönüşebilmesi
• Siyasetin, özgür ve açık bir internete izin vermiş olmaktan sonradan pişman olduğu ve teknoloji şirketlerini denetimi gönüllü olarak geri vermeye ikna etmeye çalıştığı bir tablo çiziliyor
• Sonuçta internet üzerindeki kontrolün, hükümet ve kurumsal ortakların kazanç sağlayacağı bir biçimde geri alınabileceği uyarısı yapılıyor

Zaten var olan düşük sürtünmeli alternatifler: ICRA PICS ve RTA

• Geçmişte tarayıcılar ve eklentiler, eski standartlar üzerinden yetişkin içerik ile kullanıcı tarafından oluşturulan içeriği tespit edebiliyordu
• Bu yöntem, istemci geliştiricileri ve web sunucusu yöneticileri için neredeyse hiç maliyet gerektirmiyor, çocuğun ne görebileceğini yönetme sorumluluğunu ise ebeveynlere bırakıyordu
• yt-dlp örnek kodu, RTA header arayan bir uygulama örneği olarak veriliyor

• ICRA PICS Headers

  • ICRA PICS, çocuklar için daha güvenli bir web oluşturmayı amaçlayan ilk girişimdi
  • Bazı tarayıcılar, üçüncü taraf araçlar ve web sunucuları bunu benimsedi
  • Sitede hangi içerik türlerinin bulunduğunu ayrıntılı anlatan bir header’ın web formu üzerinden üretilmesi gerektiği için sürtünme yüksekti ve benimsenme durdu

• RTA Header

  • RTA Header, daha basit yapısıyla daha yaygın kullanılan ikinci girişimdi
  • Site işletmecileri web sayfasına ya da HTTP header’ına tek bir basit header ekliyor; tarayıcılar, arama motorları ve crawler’lar da sitenin çocuklar için uygun olmayabileceğini anında anlayabiliyor
  • HTML yönergesi örneği şöyle:

  <meta name="rating" content="RTA-5042-1996-1400-1577-RTA">
  

  • NGinx HTTP header örneği şöyle:

  add_header Rating 'RTA-5042-1996-1400-1577-RTA' always;
  

  • HAProxy’de ise şu şekilde ayarlanabiliyor:

  http-response set-header Rating "RTA-5042-1996-1400-1577-RTA"
  

  • Sunucu, load balancer ya da uygulama fark etmeksizin yapılandırması basit ve maliyeti neredeyse sıfır olan bir yaklaşım
  • Geriye kalan iş, istemci kodunu yeniden tarayıcılara koymak ve bunu telefonlarla tabletlere de eklemek
  • Çoğu geliştirici, şirket ve kuruluşun bunu az emek ve düşük maliyetle uygulayabileceği, hatta hızlı bir yan proje olarak bile yapılabileceği savunuluyor

Takip veritabanlarının yayılma senaryosu

• Yazı, aşağıdaki akışı teori ve en iyi tahmin olarak ayırıyor
  • 1. aşama: Muhafazakâr siyasetçilere lobi yapılıyor ve aile değerleriyle seçmen inançlarına uygun politika olarak kabul ediliyor
  • 2. aşama: Yeterince çok muhafazakâr eğilimli eyalet veritabanı zorunluluğu yasasını kabul ederse federal yasayı meşrulaştırmak kolaylaşıyor
  • 3. aşama: Gelir oluşuyor
  • 4. aşama: ABD federal yasası takibi zorunlu kılarsa diğer ülkeler de yaptırım veya para cezasından kaçınmak için aynı yolu izliyor
  • 5. aşama: Takip çerçevesi kurulduktan sonra Facebook, X ve Instagram gibi sosyal medya hizmetlerine de dayatılıyor
  • 6. aşama: Bankalar, online mağazalar, kripto para borsaları, oylama, online sohbet sistemleri, Signal, WhatsApp, Slack, Discord, IRC, Hacker News, kullanıcı katkılı içerikler, chan benzeri siteler, YouTube, Rumble, TikTok, Steam, Battle.net ve Minecraft gibi oyun platformlarına kadar genişleyebiliyor
  • 7. aşama: Daha büyük gelir ve kitlesel takip ortaya çıkıyor
• Bu tür verilerin tek yerde toplanması, internetteki kötü niyetli aktörleri de çekebilir
• Verinin bir S3 bucket’tan yanlışlıkla sızmayacağı ya da satılmayacağı varsayımı alaycı bir dille ele alınıyor

Küresel uygulama ve gelir elde etme ihtimali

• Küresel uygulamanın teorik olarak tüm web tarayıcılarının Web Environment Integrity(WEI) imzası olmayan web sayfalarını engellemesiyle mümkün olabileceği söyleniyor
• Bu akışın kredi kartı, eyalet kimliği, TPM modülü ile bağlanabileceği öne sürülüyor
• Tor Browser WEI’yi uygularsa bunun Tor .onion sitelerine de potansiyel olarak uzanabileceği düşünülüyor
• Her kullanıcı her web sitesine gerçek kimlik ve finansal bilgiyle giriş yapmak zorunda kalırsa, siteler satış ve faturalandırmayı çok daha kolay hale getirebilir
• Kimlik doğrulama web siteleri üzerinden çalışan satın alma düğmeleri eklenmesi ve bu doğrulama sitelerinin komisyon alması da öngörülüyor
• Chargeback’lerden kaçınmak için hesabı doğrudan vadesiz mevduat hesabına eşleyen kolaylık özellikleri de sunulabilir
• Vendor’ların ve OS güncellemelerinin Secure Boot’u kilitleyerek üçüncü taraf yaş/kimlik doğrulamasına katılmayan işletim sistemlerini engelleyebileceği endişesi de yer alıyor

Toplumsal etkiye dair kaygılar

• Sorunlu görülen söylemler nedeniyle vatandaşların para cezası alabileceği ya da kimliklerinin ifşa edilebileceği düşünülüyor
  • PayPal’ın yanlış bilgi nedeniyle kullanıcılara 2.500 dolar ceza keseceğini söyleyip hemen geri adım attığı olay örnek veriliyor
• İnsanların kendi inançlarını dile getirmesi halinde fiziksel ve finansal misilleme riski artabilir; bunun sonucu olarak da otosansür yaygınlaşabilir
• Birilerinin Utopia olarak gördüğü şeyin topluma dayatılabileceği kaygısı da dile getiriliyor
• Hatta bazı insanların her şeyi yıkmak istediği ifadesi de kullanılıyor

RTA header’ın kötüye kullanılma ihtimali ve sınırları

• Birisi bir web sayfasına RTA header ekleyebiliyorsa, bunun site işletmecisinin eklemesi gereken header’daki boşluğu doldurmak anlamına geldiği savunuluyor
• Bazı gençler kısıtlamaları aşabilir
• Bu yaklaşım kusursuz değil, ancak bugün var olan ya da uygulanmakta olan yöntemlerden daha iyi olduğu ileri sürülüyor
• Gençlerin header’ı aşmasının, merkezi veritabanını kullanmak için kredi kartı çalmak veya kimlik sahteciliği yapmak ve hayata suç kaydıyla başlamak zorunda kalmalarından daha iyi olduğu görüşü savunuluyor

Kullanıcı tarafından oluşturulan içerikte neden RTA gerekli?

• Kullanıcı tarafından oluşturulan içerik bir anda çocuklara uygun olmayan içeriğe dönüşebilir
• Yalnızca reşit yetişkinler sözleşme yapabilir ve hukuken uygulanabilir anlaşmaları kabul edebilir
• Yetişkinlere yönelik içerik varsa, çocuğun ebeveyni ya da yasal vasisiyle birlikte olması veya ebeveynin izin verdiği alan adlarını ya da URL’leri izin listesine eklemesi gerektiği savunuluyor
• Bunun hukuki tavsiye olmadığı, avukatların da hata yapabileceği ve bu yüzden birden fazla görüş alınarak itiraz edilmesi gerektiği notu düşülüyor

Önerilen uygulama planı

• İnsanların eyalet ve federal temsilcileriyle iletişime geçip daha basit ve mahremiyeti daha az ihlal eden yaş doğrulama yöntemleri talep etmesi gerektiği söyleniyor
• Birincisi, tüm web sitesi işletmecileri ve sahiplerine RTA header uygulaması zorunlu kılınmalı ve bunun için 1 yıl süre verilmeli
  • Bunun birkaç dakikada yapılabileceği düşünülüyor
• İkincisi, varsayılan olarak kurulu kullanıcı ajanları olan tarayıcılar ve web istemcileri RTA header’ı algılayıp ebeveyn denetimlerini etkinleştirmeli
  • QA hariç bunun bir günden kısa geliştirme işi olduğu ileri sürülüyor
  • Uygulama süresi olarak 1 yıl öneriliyor
  • Yönetici hesabından sonra oluşturulan yeni varsayılan hesaplar, yönetici parolası girilmedikçe ebeveyn denetimi kullanan çocuk hesapları olmalı
• Üçüncüsü, CDN’ler ve web scraping şirketleriyle sözleşme yapılarak sitelerde RTA header bulunup bulunmadığı doğrulanmalı
• Dördüncüsü, 2034 itibarıyla 13 yaşın altındaki tüm çocuklar için ebeveyn denetimlerinin etkin olması yasalaştırılmalı
• Beşincisi, bugünün gençleri 2034’te yetişkin olacağı için bu yöntem doğru uygulanırsa etkilenmeyecek
  • Böylece kayan bir zaman penceresi oluşturuluyor ve yalnızca gelecekteki gençler etkileniyor
  • Çocuğa dair sorumluluğun devlete değil ebeveyne ait olduğu savunuluyor
• Altıncısı, bu yaklaşıma karşı çıkan veya başka seçenekler için lobi yapan şirketlerin yasal olarak fonunun kesilmesi, karşı çıkan siyasetçilerin ise kınama ve nihai ihraçla karşılaşması gerektiği ileri sürülüyor
• Kişisel tanımlayıcı bilgi yüklemek gerekiyorsa, bununla doğrudan ya da dolaylı ilişkili veri merkezleri PCI DSS ve Fedramp toplamından daha sıkı teknik ve denetim gereksinimlerine tabi olmalı
  • IoT cihazları, geliştirici laptop’ları, DEV/QA, performans, staging ve production dahil her şey kapsam içinde olmalı
  • Bu fazla zorsa sonuç basit: kişisel tanımlayıcı bilgiye dokunmayın, RTA ve yetişkin header’larını kullanın

CTO ve CSO’lara tavsiye

• Yasa çıkıp ters tepki yaratana ve başarısız olana kadar beklemeyin; sitenize RTA header ekleyin
• Tarayıcılar, ebeveynleri ve çocukları koruyabilmek için header kontrolü yapabilmeli
• Şirketler, bu tür uygulamalar sayesinde başkalarından önde olduklarını söyleyebilir