الخروج من شبكة FLoC

ابتكرت جوجل تقنية تُدعى FLoC تستخدم متصفح كروم لرسم ملفات تعريف للمستخدمين، وذلك لأن ملفات تعريف الارتباط من الجهات الخارجية تبدو أنها على وشك الاختفاء.

هذه التقنية يُنظر إليها بشدة على أنها غير مرغوب فيها، ويمكن لموقع ويب أو تطبيق إرسال رأس Permissions-Policy: interest-cohort=() للتخلي عن هذه الميزة.

نحن نؤمن بأن الإعلان حجر زاوية مهم في شبكة الويب عام 2021، ولكن بالطبع هناك العديد من المجتمعات التي ترى في هذا قضية خصوصية كبيرة.

أسرع طريقة للتخلي عن تثبيت Discourse الخاص بك من هذه الميزة هي إضافة وسم meta في قسم /head لمكوّن سمة: تعديل: كما أشار @supermathie، غير متأكد مما إذا كان هذا سيعمل.

<meta http-equiv="Permissions-Policy" content="interest-cohort=()"/>

ولكن ربما يمكن أن يكون هذا رأس HTTP “حقيقيًا” يتحكم فيه مربع اختيار في النواة.

شكرًا لك - أنا أتفق معك، يجب أن يكون هذا خيارًا قياسيًا.

يمكنك التحقق من رؤوسك هنا، وهذا الموقع لا يرسل حاليًا خيار إلغاء الاشتراك:
https://securityheaders.com/?q=https%3A%2F%2Fmeta.discourse.org%2F&followRedirects=on

لم أرَ إلا أشخاصًا يقولون إن هذا لن يعمل، وأعتقد أن هذا يجب أن يكون رأسًا فعليًا.

لا يُعدّ خيار الانسحاب من كلا الجانبين (الموقع الإلكتروني ومن جانب المستخدم) مخططًا عمليًا لإدراج ميزات جديدة لمنصة الويب.

على وجه الخصوص، يجب إرسال رأس الرسالة في كل طلب، كما يجب أن تأخذ في الاعتبار كل عنوان URL فريد لشبكة توصيل المحتوى (CDN) الذي يعادل زيارة نطاق المنتدى الأساسي الخاص بك.

فالعنوان cdn.forum.example.com يمتلك قوة تنبؤية مساوية تمامًا لتلك التي يمتلكها forum.example.com.

أي تغييرات في هذه المرحلة تكون بدافع عشوائي في جوهرها. إن إجبار جوجل对整个 الويب على الارتباك مع فرص ضئيلة للبحث في الآلية أو للتحقق من التغييرات في السياسات لا يُعزز اتخاذ قرارات عقلانية.

صحيح جداً. لا يمكنني أن أوافق أكثر من هذا.

ومع ذلك…

هل يُفترض بنا أن نجلس بلا حراك ولا نفعل شيئًا بينما تفعل جوجل ذلك؟ لأن جوجل تفعل ذلك، سواء أعجبنا ذلك أم لا. سواء كان ذلك جيدًا أم لا.

مناقشة FLoC Discussion في مشروع Wordpress (التي للأسف تبدو وكأنها تدور حول “كيفية” التعامل معها بدلاً من “ما إذا كان” يجب التعامل معها).

شكرًا لك، قمت ببعض البحث: نقاش ذو صلة هنا وحجة مهمة (التأكيد لي)

أفضّل ألا نفعل ذلك. هذا يؤدي إلى جميع أنواع ظروف السباق، وستحصل أيضًا على ميزات يمكنك تعطيلها فقط على مستوى HTTP. أفضّل عدم تكرار الفوضى التي سببها هذا مع CSP. دعنا فقط نشجع جميع مقدمي الخدمات الاستضافة على توفير خيارات تكوين رأس مناسبة.

في حين أن FLoC أمر سيء، إلا أن الاقتراح على WordPress لا يبدو مثاليًا أيضًا، حيث أن العديد من الأشياء تعدل الرؤوس، فكيف تأخذ ذلك كله في الاعتبار؟

الحل الموثوق الوحيد في الوقت الحالي هو استخدام أي متصفح آخر غير Chrome. إن استخدام التوجيهات لـ طلب من Google عدم الزحف أو التتبع له تاريخ من عدم الالتزام به دائمًا، حتى عند تنفيذه بالطريقة التي تقول Google إننا يجب أن نفعلها.

إذًا، في عالم ووردبريس، يتعيّن على مدير الموقع التعامل مع مزوّد خدمة الاستضافة الخاص به بشأن رؤوسه. (تعديل: آسف، انظر أدناه للتصحيح.)

لكن هنا في عالم ديسكوس، لدينا صورة Docker تقوم بتكوين كل شيء يتعلق بالوجود الإلكتروني لموقعنا، بما في ذلك الرؤوس.

أعرف ما يكفي لأكون خطرًا، لكنني أرى إعدادات الرؤوس في:
/var/discourse/shared/standalone/letsencrypt/http.header
/var/discourse/templates/web.ssl.template.yml
لذا يبدو لي أن تحديد الرؤوس المناسبة يقع ضمن نطاق عمل ديسكوس، وفقًا لسياسة مدير الموقع.

قد لا يهتم بعض مشرفي ديسكوس بفعل أي شيء، وقد يرغب آخرون في الانتظار والمراقبة، بينما قد يفضل آخرون الانسحاب من تتبع FLoC نيابة عن مجتمعاتهم وكإشارة إلى جوجل.

أود أن أطلب الانسحاب.

أنا أختبر تغييرًا بناءً على Add a custom HTTP header to requests made to your Discourse ^[1] لإضافة هذا الرأس، وسأخبرك بمجرد أن أحصل على تأكيد أنه يعمل.

شخصيًا، أنا معجب بالاقتراح الذي طرحه شخص ما لـ رفض الطلبات التي ترسل رأس FLOC بشكل قاطع، مما يكسر Chrome. لكنني لا أستطيع العثور على المقالة التي قرأتها التي تدعو إلى ذلك…

1. غنو تيري براتشيت، انطق اسمه ↩︎

لا - كان هذا الاقتباس من نقاش عام حول رأس سياسة الأذونات. في عالم ووردبريس، توجد إضافة تضيف هذا الرأس.

شكرًا لك - أنا أقبل التصحيح.

هذا يجب أن يفيدك:

## أي أوامر مخصصة للتشغيل بعد البناء
run:
  - exec: echo "بداية الأوامر المخصصة"
  - replace:
     filename: "/etc/nginx/conf.d/discourse.conf"
     from: /location \/ {/
     to: |
       location / {
           add_header X-Clacks-Overhead "GNU Terry Pratchett";
           add_header Permissions-Policy "interest-cohort=()";

مُعدّل من Add a custom HTTP header to requests made to your Discourse
ملاحظة جانبية: كيف يكون هذا موضوعياً جداً لليوم: Terry Pratchett’s debut turns 50: ‘At 17 he showed promise of a brilliant mind’ | Books | The Guardian

النتيجة هي:

○ → curl -I https://testmachine/srv/status
HTTP/2 200 
server: nginx
date: Tue, 20 Apr 2021 17:48:15 GMT
content-type: text/plain; charset=utf-8
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
x-content-type-options: nosniff
x-download-options: noopen
x-permitted-cross-domain-policies: none
referrer-policy: strict-origin-when-cross-origin
x-request-id: ef02ce7c-fabc-49b9-986e-c2c46e50f8e4
x-runtime: 0.004575
x-redis-calls: 1
x-redis-time: 0.000153
x-queue-time: 0.000952
x-clacks-overhead: GNU Terry Pratchett
permissions-policy: interest-cohort=()

تحديث من lobste.rs: بمجرد انتهاء النسخة التجريبية، لن يكون هناك خيار للت退出 من تضمين موقعك في الحسابات.

سيتم تضمين جميع المواقع التي تحتوي على عناوين IP قابلة للتوجيه علنًا والتي يزورها المستخدم عند عدم استخدام وضع التصفح المتخفي في حساب مجموعة POC.

سيتم إيقاف عمل هذا “خيار الخروج” فور انتهاء المرحلة التجريبية، وحاليًا يعمل فقط إذا كنت تقدم إعلانات.

بعبارة أخرى، دعنا نتوقف عن إضاعة الوقت في التفكير في هذا الأمر.

يمكنك أن تختار عدم المشاركة كفرد (لوقتٍ ما).

من إصدار Chrome 90 (الإصدار المستقر يوم الثلاثاء، 13 أبريل) يمكن للمستخدمين اختيار عدم المشاركة في FLoC واقتراحات Privacy Sandbox الأخرى عبر chrome://settings/privacySandbox. (يمكنك تجربة ذلك الآن في Canary مع عرض floc.glitch.me التجريبي.)

من: https://discourse.wicg.io/t/proposal-federated-learning-of-cohorts-floc/4473/26

استغرق الأمر مني بعض الوقت لفهم هذا أيضًا، وأعتقد أنني أفهمه الآن (ولكن يرجى تصحيحي إذا كنت مخطئًا). اللبس يدور حول “الحسابات”.

هناك نوعان من الحسابات هنا، وهناك ثلاث طرق لموقع ما لـ “المشاركة” في FLoC.

1. الخوارزمية “العالمية” التي تحدد الجماعات (العالمية). الانسحاب مستحيل. في الواقع سيتم تضمين جميع المواقع ذات عناوين IP القابلة للتوجيه علنًا والتي يزورها المستخدم عندما لا يكون في وضع التصفح المتخفي في حساب مجموعة POC.

2. الخوارزمية التي تحدد الجماعة لمستخدم معين، بناءً على عادات التصفح الخاصة به. الانسحاب يعتمد على رأس الرسالة (header). يجب أن يكون بمقدور موقع ما الإعلان عن أنه لا يريد أن يُدرج في قائمة مواقع المستخدم لحساب الجماعة. ويمكن تحقيق ذلك عبر سياسة أذونات interest-cohort الجديدة المعتمدة من W3C. (مأخوذ من نفس المستند مثل اقتباسك)

3. موقع يطلب الجماعة الخاصة بالمستخدم للحصول على إعلان مستهدف (أو لسوء استخدام هذه المعلومات) باستخدام JavaScript. يتم توفير القيمة للمواقع الإلكترونية عبر واجهة برمجة تطبيقات JavaScript جديدة:
   cohort = await document.interestCohort();.
   لا تعمل هذه الواجهة على الصفحات التي اختارت الانسحاب باستخدام الرأس في النقطة #2، وهذا هو مصدر الكثير من اللبس. أي إطار (frame) غير مسموح له بصلاحية interest-cohort سيعيد قيمة افتراضية عند استدعائه لـ document.interestCohort().

لم أستطع العثور على مصدر جيد لهذا.

آه - لقد كنت أخلط بين #2 و #3 في قائمتك هناك.

في هذه الحالة، هناك قيمة في الرأس، ومع ذلك فإن الرؤوس طريقة سيئة وعرضة للأخطاء لتقديم هذا.