FLoC-Netzwerk-Opt-out

Google hat eine Technologie namens FLoC erfunden, die den Chrome-Browser nutzt, um Nutzerprofile zu erstellen, da Third-Party-Cookies offenbar verschwinden.

Diese Technologie wird stark kritisiert, und eine Website oder Anwendung kann einen Permissions-Policy: interest-cohort=()-Header senden, um sich davon abzumelden.

Wir sind der Ansicht, dass Werbung im Jahr 2021 ein wichtiger Eckpfeiler des Webs ist, aber es gibt natürlich viele Communities, die dies als großes Datenschutzproblem betrachten.

Der schnellste Weg, Ihre Discourse-Installation davon abzumelden, besteht darin, ein meta-Tag im /head eines Theme-Components hinzuzufügen: EDIT wie @supermathie angemerkt hat, bin mir nicht sicher, ob dies funktionieren wird.

<meta http-equiv="Permissions-Policy" content="interest-cohort=()"/>

Vielleicht könnte dies jedoch ein „echter

Danke – ich stimme zu, das sollte eine Standardoption sein.

Sie können Ihre Header hier überprüfen, und diese Seite sendet derzeit keine Opt-out-Anfrage:
https://securityheaders.com/?q=https%3A%2F%2Fmeta.discourse.org%2F&followRedirects=on

Ich habe bisher nur gehört, dass dies nicht funktioniert. Ich glaube, es muss sich um einen echten Header handeln.

Ein Opt-out sowohl auf der Website- als auch auf der Benutzerebene ist kein praktikables Konzept für die Einführung neuer Funktionen der Webplattform.

Insbesondere muss der Header bei jeder Anfrage gesendet werden, und Sie müssen auch jede eindeutige CDN-URL berücksichtigen, die einem Besuch Ihrer primären Forendomain entspricht.

cdn.forum.example.com hat exakt die gleiche prädiktive Kraft wie forum.example.com.

Änderungen zu diesem Zeitpunkt sind im Wesentlichen willkürlich motiviert. Dass Google das gesamte Web dazu zwingt, sich unter Zeitdruck anzupassen, mit wenig Gelegenheit zur Erforschung des Mechanismus oder zur Einblicke in politische Änderungen, begünstigt keine rationalen Entscheidungen.

Das ist absolut richtig. Da kann ich nur zustimmen.

Und doch…

Sollen wir einfach tatenlos zusehen, während Google das tut? Denn Google tut das, ob wir wollen oder nicht. Ob es gut ist oder nicht.

FLoC Diskussion im Wordpress-Projekt (die sich leider mehr um das „Wie

Danke, ich habe etwas recherchiert: relevante Diskussion hier und wichtiges Argument (meine Hervorhebung)

Ich würde es vorziehen, dies nicht zu tun. Dies führt zu allen möglichen Race Conditions, und man erhält auch Funktionen, die nur auf HTTP-Ebene deaktiviert werden können. Ich möchte nicht, dass sich das Chaos wiederholt, das dies mit CSP verursacht hat. Lassen Sie uns einfach alle Hosting-Anbieter dazu ermutigen, angemessene Header-Konfigurationsoptionen bereitzustellen.

Obwohl FLoC schrecklich ist, scheint auch der Vorschlag auf WordPress nicht perfekt zu sein, da viele Dinge Header ändern. Wie berücksichtigt man all das?

Die einzige zuverlässige Lösung im Moment besteht darin, einen beliebigen Browser außer Chrome zu verwenden. Die Verwendung von Anweisungen, um Google zu bitten, nicht zu crawlen oder zu tracken, hat sich bereits als nicht immer beachtet erwiesen, selbst wenn sie genau so umgesetzt werden, wie Google es empfiehlt.

Im WordPress-Universum muss ein Webmaster also mit seinem Hosting-Anbieter wegen der Header-Settings verhandeln. (Edit: Oops, siehe unten für eine Korrektur.)

Aber hier im Discourse-Universum haben wir ein Docker-Image, das alles über die Webpräsenz unserer Site konfiguriert, einschließlich der Header.

Ich weiß nur genug, um gefährlich zu sein, aber ich sehe Header-Einstellungen in
/var/discourse/shared/standalone/letsencrypt/http.header
/var/discourse/templates/web.ssl.template.yml
Daher fühlt es sich für mich so an, als wäre es im Zuständigkeitsbereich von Discourse, angemessene Header gemäß der Webmaster-Richtlinie festzulegen.

Manche Discourse-Administratoren möchten vielleicht nichts unternehmen, andere möchten abwarten, und wieder andere möchten im Namen ihrer Communities und als Signal an Google der FLoC-Verfolgung opt-out.

Ich möchte opt-out.

Ich teste eine Änderung basierend auf Add a custom HTTP header to requests made to your Discourse ^[1], um diesen Header hinzuzufügen. Sobald ich bestätigt habe, dass es funktioniert, gebe ich euch Bescheid.

Persönlich gefällt mir der Vorschlag eines Nutzers, Anfragen mit dem FLOC-Header ganz einfach abzulehnen und damit Chrome zu unterbrechen. Ich kann den Artikel, in dem das befürwortet wurde, jedoch nicht mehr finden…

1. GNU Terry Pratchett, nenne seinen Namen ↩︎

Nein – dieses Zitat stammte aus einer allgemeinen Diskussion über den Header „Permissions-Policy“. Im Reich von Wordpress gibt es ein Plugin, das diesen Header hinzufügt.

Danke – ich wurde eines Besseren belehrt.

Das sollte funktionieren:

## Beliebige benutzerdefinierte Befehle, die nach dem Build ausgeführt werden sollen
run:
  - exec: echo "Beginn der benutzerdefinierten Befehle"
  - replace:
     filename: "/etc/nginx/conf.d/discourse.conf"
     from: /location \/ {/
     to: |
       location / {
           add_header X-Clacks-Overhead "GNU Terry Pratchett";
           add_header Permissions-Policy "interest-cohort=()";

angepasst von Add a custom HTTP header to requests made to your Discourse
nebenbei: Wie passend für heute: Terry Pratchett’s debut turns 50: ‘At 17 he showed promise of a brilliant mind’ | Books | The Guardian

Das Ergebnis ist:

○ → curl -I https://testmachine/srv/status
HTTP/2 200 
server: nginx
date: Tue, 20 Apr 2021 17:48:15 GMT
content-type: text/plain; charset=utf-8
x-frame-options: SAMEORIGIN
x-xss-protection: 1; mode=block
x-content-type-options: nosniff
x-download-options: noopen
x-permitted-cross-domain-policies: none
referrer-policy: strict-origin-when-cross-origin
x-request-id: ef02ce7c-fabc-49b9-986e-c2c46e50f8e4
x-runtime: 0.004575
x-redis-calls: 1
x-redis-time: 0.000153
x-queue-time: 0.000952
x-clacks-overhead: GNU Terry Pratchett
permissions-policy: interest-cohort=()

Update von lobste.rs: Sobald die Beta abgeschlossen ist, gibt es keine Möglichkeit, sich aus den Berechnungen für die Einbeziehung Ihrer Website auszuschließen.

Alle Websites mit öffentlich erreichbaren IP-Adressen, die der Benutzer im Nicht-Inkognito-Modus besucht, werden in die POC-Cohort-Berechnung einbezogen.

Dieser „Opt-out

Mit anderen Worten, lass uns aufhören, Zeit damit zu verschwenden, darüber nachzudenken.

Sie können sich (vorläufig) als Einzelperson abmelden.

Ab Chrome 90 (Stable-Release am Dienstag, 13. April) können Nutzer FLoC und andere Vorschläge des Privacy Sandbox über chrome://settings/privacySandbox deaktivieren. (Sie können dies jetzt in Canary mit der Demo unter floc.glitch.me ausprobieren.)

Quelle: https://discourse.wicg.io/t/proposal-federated-learning-of-cohorts-floc/4473/26

Das habe ich auch eine Weile gebraucht, um zu verstehen, und ich glaube, ich habe es jetzt verstanden (bitte korrigiert mich, falls ich falsch liege). Die Verwirrung dreht sich um „die Berechnungen".

Es gibt hier zwei Arten von Berechnungen, und eine Website kann auf drei Arten an FLoC „teilnehmen".

1. Der „globale" Algorithmus, der die (globalen) Kohorten bestimmt. Ein Opt-out ist unmöglich. Tatsächlich werden alle Websites mit öffentlich erreichbaren IP-Adressen, die der Nutzer besucht, wenn er sich nicht im Inkognito-Modus befindet, in die Berechnung der POC-Kohorte einbezogen.

2. Der Algorithmus, der die Kohorte für einen bestimmten Benutzer basierend auf seinem Surfverhalten bestimmt. Opt-out über einen Header möglich. Eine Website sollte erklären können, dass sie nicht in die Liste der Websites des Benutzers für die Kohortenberechnung einbezogen werden möchte. Dies kann über eine neue interest-cohort-Richtlinie für Berechtigungen erreicht werden. (entnommen demselben Dokument wie Ihr Zitat)

3. Eine Website, die die benutzerspezifische Kohorte anfordert, um eine gezielte Werbung zu schalten (oder diese Informationen zu missbrauchen), unter Verwendung von JavaScript. Der Wert wird Websites über eine neue JavaScript-API verfügbar gemacht:
   cohort = await document.interestCohort();.
   Diese API funktioniert nicht auf Seiten, die über den Header in #2 ein Opt-out gewählt haben, und genau hier entstand viel Verwirrung. Jeder Frame, dem die interest-cohort-Berechtigung nicht erlaubt ist, erhält einen Standardwert zurück, wenn er document.interestCohort() aufruft.

Ich kann dafür keine gute Quelle finden.

Ah – ich habe dort in deiner Liste Punkt 2 und 3 verwechselt.

In diesem Fall hat der Header also einen Nutzen, auch wenn Header generell eine schlechte und fehleranfällige Methode sind, um dies zu übermitteln.